WithSecure-element via anslutningsprogram för Microsoft Sentinel

  • Artikel

WithSecure Elements är en enhetlig molnbaserad cybersäkerhetsplattform. Genom att ansluta WithSecure-element via Anslut eller till Microsoft Sentinel kan säkerhetshändelser tas emot i Common Event Format (CEF) via syslog. Det kräver distribution av "Elements Anslut or" antingen lokalt eller i molnet. Common Event Format (CEF) tillhandahåller intern sökning och korrelation, aviseringar och hotinformationsberikning för varje datalogg.

Det här är automatiskt genererat innehåll. Om du vill ha ändringar kontaktar du lösningsleverantören.

Anslut ellerattribut

Anslut ellerattribut beskrivning
Log Analytics-tabeller CommonSecurityLog (WithSecure Events)
Stöd för regler för datainsamling DcR för arbetsytetransformering
Stöds av WithSecure

Exempel på frågor

Alla loggar

CommonSecurityLog

| where DeviceVendor == "WithSecure™"

| sort by TimeGenerated

Installationsanvisningar för leverantör

  1. Konfiguration av Linux Syslog-agent

Installera och konfigurera Linux-agenten för att samla in dina Common Event Format-syslog-meddelanden (CEF) och vidarebefordra dem till Microsoft Sentinel.

Observera att data från alla regioner lagras på den valda arbetsytan

1.1 Välj eller skapa en Linux-dator

Välj eller skapa en Linux-dator som Microsoft Sentinel ska använda som proxy mellan din WithSecurity-lösning och Sentinel. Datorn kan vara lokal miljö, Microsoft Azure eller annan molnbaserad.

Linux måste ha syslog-ng och python/python3 installerat.

1.2 Installera CEF-insamlaren på Linux-datorn

Installera Microsoft Monitoring Agent på din Linux-dator och konfigurera datorn så att den lyssnar på den nödvändiga porten och vidarebefordrar meddelanden till din Microsoft Sentinel-arbetsyta. CEF-insamlaren samlar in CEF-meddelanden på port 514 TCP.

  1. Kontrollera att du har Python på datorn med följande kommando: python -version.
  1. Du måste ha utökade behörigheter (sudo) på datorn.

Kör följande kommando för att installera och tillämpa CEF-insamlaren:

sudo wget -O cef_installer.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/CEF/cef_installer.py&&sudo python cef_installer.py {0} {1}

Använd kommandot för python3 nedan:

sudo wget -O cef_installer.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/CEF/cef_installer.py&&sudo python3 cef_installer.py {0} {1}

  1. Vidarebefordra data från WithSecure-element Anslut eller till Syslog-agent

Detta beskriver hur du installerar och konfigurerar element Anslut eller steg för steg.

2.1 Beställa Anslut eller prenumeration

Om Anslut ellerprenumerationen inte har beställts än går du till EPP i Elementportalen. Gå sedan till Nedladdningar och i avsnittet Element Anslut eller klickar du på knappen Skapa prenumerationsnyckel. Du kan kontrollera din prenumerationsnyckel i Prenumerationer.

2.2 Ladda ned Anslut eller

Gå till Nedladdningar och välj rätt installationsprogram i avsnittet WithSecure Elements Anslut or.

2.3 Skapa api-nyckel för hantering

När du är i EPP öppnar du kontoinställningar i det övre högra hörnet. Välj sedan Hämta api-nyckel för hantering. Om nyckeln har skapats tidigare kan den också läsas där.

2.4 Installera Anslut eller

Om du vill installera Element Anslut eller följa Element Anslut eller Docs.

2.5 Konfigurera vidarebefordran av händelser

Om API-åtkomst inte har konfigurerats under installationen följer du Konfigurera API-åtkomst för Element Anslut eller. Gå sedan till EPP, sedan Profiler och använd sedan For Anslut or där du kan se anslutningsprofilerna. Skapa en ny profil (eller redigera en befintlig inte skrivskyddad profil). I Vidarebefordran av händelser aktiverar du det. SIEM-systemadress: 127.0.0.1:514. Ange format till Common Event Format. Protokollet är TCP. Spara profilen och tilldela den till Element Anslut eller på fliken Enheter.

  1. Verifiera anslutningen

Följ anvisningarna för att verifiera anslutningen:

Öppna Log Analytics för att kontrollera om loggarna tas emot med hjälp av CommonSecurityLog-schemat.

Det kan ta cirka 20 minuter innan anslutningen strömmar data till din arbetsyta.

Om loggarna inte tas emot kör du följande anslutningsverifieringsskript:

  1. Kontrollera att du har Python på datorn med följande kommando: python -version
  1. Du måste ha utökade behörigheter (sudo) på datorn

Kör följande kommando för att verifiera anslutningen:

sudo wget -O cef_troubleshoot.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/CEF/cef_troubleshoot.py&&sudo python cef_troubleshoot.py {0}

Använd kommandot för python3 nedan:

sudo wget -O cef_troubleshoot.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/CEF/cef_troubleshoot.py&&sudo python3 cef_troubleshoot.py {0}

  1. Skydda datorn

Se till att konfigurera datorns säkerhet enligt organisationens säkerhetsprincip

Läs mer >

Nästa steg

Mer information finns i den relaterade lösningen på Azure Marketplace.