Anslutningsprogram för vaken säkerhet för Microsoft Sentinel

  • Artikel

Med Awake Security CEF-anslutningsappen kan användare skicka identifieringsmodellmatchningar från Awake Security Platform till Microsoft Sentinel. Åtgärda hot snabbt med kraften i nätverksidentifiering och svar och påskynda undersökningar med djup insyn, särskilt i ohanterade entiteter, inklusive användare, enheter och program i nätverket. Anslutningsappen gör det också möjligt att skapa nätverkssäkerhetsfokuserade anpassade aviseringar, incidenter, arbetsböcker och notebook-filer som överensstämmer med dina befintliga arbetsflöden för säkerhetsåtgärder.

Det här är automatiskt genererat innehåll. Om du vill ha ändringar kontaktar du lösningsleverantören.

Anslut ellerattribut

Anslut ellerattribut beskrivning
Log Analytics-tabeller CommonSecurityLog (AwakeSecurity)
Stöd för regler för datainsamling DcR för arbetsytetransformering
Stöds av Arista – vaken säkerhet

Exempel på frågor

Top 5 Adversarial Model matchar efter allvarlighetsgrad

union CommonSecurityLog

| where DeviceVendor == "Arista Networks" and DeviceProduct == "Awake Security"

| summarize  TotalActivities=sum(EventCount) by Activity,LogSeverity

| top 5 by LogSeverity desc

De 5 främsta enheterna efter enhetens riskpoäng

CommonSecurityLog 
| where DeviceVendor == "Arista Networks" and DeviceProduct == "Awake Security" 
| extend DeviceCustomNumber1 = coalesce(column_ifexists("FieldDeviceCustomNumber1", long(null)), DeviceCustomNumber1, long(null)) 
| summarize MaxDeviceRiskScore=max(DeviceCustomNumber1),TimesAlerted=count() by SourceHostName=coalesce(SourceHostName,"Unknown") 
| top 5 by MaxDeviceRiskScore desc

Installationsanvisningar för leverantör

  1. Konfiguration av Linux Syslog-agent

Installera och konfigurera Linux-agenten för att samla in dina Common Event Format-syslog-meddelanden (CEF) och vidarebefordra dem till Microsoft Sentinel.

Observera att data från alla regioner lagras på den valda arbetsytan

1.1 Välj eller skapa en Linux-dator

Välj eller skapa en Linux-dator som Microsoft Sentinel ska använda som proxy mellan din säkerhetslösning och Microsoft Sentinel den här datorn kan finnas i din lokala miljö, Azure eller andra moln.

1.2 Installera CEF-insamlaren på Linux-datorn

Installera Microsoft Monitoring Agent på din Linux-dator och konfigurera datorn så att den lyssnar på den nödvändiga porten och vidarebefordrar meddelanden till din Microsoft Sentinel-arbetsyta. CEF-insamlaren samlar in CEF-meddelanden på port 514 TCP.

  1. Kontrollera att du har Python på datorn med följande kommando: python -version.
  1. Du måste ha utökade behörigheter (sudo) på datorn.

Kör följande kommando för att installera och tillämpa CEF-insamlaren:

sudo wget -O cef_installer.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/CEF/cef_installer.py&&sudo python cef_installer.py {0} {1}

  1. Forward Awake Adversarial Model matchar resultaten med en CEF-insamlare.

Utför följande steg för att vidarebefordra matchningsresultat för awake adversarial model till en CEF-insamlare som lyssnar på TCP-port 514 på IP 192.168.0.1:

  • Gå till sidan Kunskaper för identifieringshantering i det vakna användargränssnittet.
  • Klicka på + Lägg till ny kompetens.
  • Ange fältet Uttryck till,

integrations.cef.tcp { destination: "192.168.0.1", port: 514, secure: false, severity: Warning }

  • Ange fältet Rubrik till ett beskrivande namn som,

Vidarebefordra awake adversarial model match resultat till Microsoft Sentinel.

  • Ange referensidentifieraren till något som är lätt att identifiera, till exempel

integrations.cef.sentinel-forwarder

  • Klicka på Spara.

Obs! Inom några minuter efter att definitionen sparats och andra fält börjar systemet skicka nya modellmatchningsresultat till CEF-händelseinsamlaren när de identifieras.

Mer information finns på sidan Lägga till säkerhetsinformation och händelsehanterings push-integrering från hjälpdokumentationen i det vakna användargränssnittet.

  1. Verifiera anslutningen

Följ anvisningarna för att verifiera anslutningen:

Öppna Log Analytics för att kontrollera om loggarna tas emot med hjälp av CommonSecurityLog-schemat.

Det kan ta cirka 20 minuter innan anslutningen strömmar data till din arbetsyta.

Om loggarna inte tas emot kör du följande anslutningsverifieringsskript:

  1. Kontrollera att du har Python på datorn med följande kommando: python -version
  1. Du måste ha utökade behörigheter (sudo) på datorn

Kör följande kommando för att verifiera anslutningen:

sudo wget -O cef_troubleshoot.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/CEF/cef_troubleshoot.py&&sudo python cef_troubleshoot.py {0}

  1. Skydda datorn

Se till att konfigurera datorns säkerhet enligt organisationens säkerhetsprincip

Läs mer >

Nästa steg

Mer information finns i den relaterade lösningen på Azure Marketplace.