[Inaktuell] Claroty via legacy agent connector för Microsoft Sentinel

  • Artikel

Claroty-dataanslutningsappen ger möjlighet att mata in kontinuerlig hotidentifiering och säkra fjärråtkomsthändelser i Microsoft Sentinel.

Anslut ellerattribut

Anslut ellerattribut beskrivning
Log Analytics-tabeller CommonSecurityLog (Claroty)
Stöd för regler för datainsamling DcR för arbetsytetransformering
Stöds av Microsoft Corporation

Exempel på frågor

De 10 främsta destinationerna

ClarotyEvent

| where isnotempty(DstIpAddr)
 
| summarize count() by DstIpAddr

| top 10 by count_

Installationsanvisningar för leverantör

Kommentar

Den här dataanslutningsappen är beroende av en parser baserad på en Kusto-funktion för att fungera som förväntat ClarotyEvent som distribueras med Microsoft Sentinel-lösningen.

  1. Konfiguration av Linux Syslog-agent

Installera och konfigurera Linux-agenten för att samla in dina Common Event Format-syslog-meddelanden (CEF) och vidarebefordra dem till Microsoft Sentinel.

Observera att data från alla regioner lagras på den valda arbetsytan

1.1 Välj eller skapa en Linux-dator

Välj eller skapa en Linux-dator som Microsoft Sentinel ska använda som proxy mellan din säkerhetslösning och Microsoft Sentinel den här datorn kan finnas i din lokala miljö, Azure eller andra moln.

1.2 Installera CEF-insamlaren på Linux-datorn

Installera Microsoft Monitoring Agent på din Linux-dator och konfigurera datorn så att den lyssnar på den nödvändiga porten och vidarebefordrar meddelanden till din Microsoft Sentinel-arbetsyta. CEF-insamlaren samlar in CEF-meddelanden på port 514 TCP.

  1. Kontrollera att du har Python på datorn med följande kommando: python -version.
  1. Du måste ha utökade behörigheter (sudo) på datorn.

Kör följande kommando för att installera och tillämpa CEF-insamlaren:

sudo wget -O cef_installer.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/CEF/cef_installer.py&&sudo python cef_installer.py {0} {1}

  1. Konfigurera Claroty för att skicka loggar med CEF

Konfigurera loggvidarebefordring med CEF:

  1. Gå till avsnittet Syslog på konfigurationsmenyn.

  2. Välj +Lägg till.

  3. I dialogrutan Lägg till ny Syslog anger du Fjärrserver-IP, Port, Protokoll och väljer Meddelandeformat - CEF.

  4. Välj Spara för att avsluta dialogrutan Lägg till Syslog.

  5. Verifiera anslutningen

Följ anvisningarna för att verifiera anslutningen:

Öppna Log Analytics för att kontrollera om loggarna tas emot med hjälp av CommonSecurityLog-schemat.

Det kan ta cirka 20 minuter innan anslutningen strömmar data till din arbetsyta.

Om loggarna inte tas emot kör du följande anslutningsverifieringsskript:

  1. Kontrollera att du har Python på datorn med följande kommando: python -version
  1. Du måste ha utökade behörigheter (sudo) på datorn

Kör följande kommando för att verifiera anslutningen:

sudo wget -O cef_troubleshoot.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/CEF/cef_troubleshoot.py&&sudo python cef_troubleshoot.py {0}

  1. Skydda datorn

Se till att konfigurera datorns säkerhet enligt organisationens säkerhetsprincip

Läs mer >

Nästa steg

Mer information finns i den relaterade lösningen på Azure Marketplace.