WithSecure-element via anslutningsprogram för Microsoft Sentinel
WithSecure Elements är en enhetlig molnbaserad cybersäkerhetsplattform. Genom att ansluta WithSecure-element via Anslut eller till Microsoft Sentinel kan säkerhetshändelser tas emot i Common Event Format (CEF) via syslog. Det kräver distribution av "Elements Anslut or" antingen lokalt eller i molnet. Common Event Format (CEF) tillhandahåller intern sökning och korrelation, aviseringar och hotinformationsberikning för varje datalogg.
Det här är automatiskt genererat innehåll. Om du vill ha ändringar kontaktar du lösningsleverantören.
Anslut ellerattribut
Anslut ellerattribut | beskrivning |
---|---|
Log Analytics-tabeller | CommonSecurityLog (WithSecure Events) |
Stöd för regler för datainsamling | DcR för arbetsytetransformering |
Stöds av | WithSecure |
Exempel på frågor
Alla loggar
CommonSecurityLog
| where DeviceVendor == "WithSecure™"
| sort by TimeGenerated
Installationsanvisningar för leverantör
- Konfiguration av Linux Syslog-agent
Installera och konfigurera Linux-agenten för att samla in dina Common Event Format-syslog-meddelanden (CEF) och vidarebefordra dem till Microsoft Sentinel.
Observera att data från alla regioner lagras på den valda arbetsytan
1.1 Välj eller skapa en Linux-dator
Välj eller skapa en Linux-dator som Microsoft Sentinel ska använda som proxy mellan din WithSecurity-lösning och Sentinel. Datorn kan vara lokal miljö, Microsoft Azure eller annan molnbaserad.
Linux måste ha
syslog-ng
ochpython
/python3
installerat.
1.2 Installera CEF-insamlaren på Linux-datorn
Installera Microsoft Monitoring Agent på din Linux-dator och konfigurera datorn så att den lyssnar på den nödvändiga porten och vidarebefordrar meddelanden till din Microsoft Sentinel-arbetsyta. CEF-insamlaren samlar in CEF-meddelanden på port 514 TCP.
- Kontrollera att du har Python på datorn med följande kommando: python -version.
- Du måste ha utökade behörigheter (sudo) på datorn.
Kör följande kommando för att installera och tillämpa CEF-insamlaren:
sudo wget -O cef_installer.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/CEF/cef_installer.py&&sudo python cef_installer.py {0} {1}
Använd kommandot för python3 nedan:
sudo wget -O cef_installer.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/CEF/cef_installer.py&&sudo python3 cef_installer.py {0} {1}
- Vidarebefordra data från WithSecure-element Anslut eller till Syslog-agent
Detta beskriver hur du installerar och konfigurerar element Anslut eller steg för steg.
2.1 Beställa Anslut eller prenumeration
Om Anslut ellerprenumerationen inte har beställts än går du till EPP i Elementportalen. Gå sedan till Nedladdningar och i avsnittet Element Anslut eller klickar du på knappen Skapa prenumerationsnyckel. Du kan kontrollera din prenumerationsnyckel i Prenumerationer.
2.2 Ladda ned Anslut eller
Gå till Nedladdningar och välj rätt installationsprogram i avsnittet WithSecure Elements Anslut or.
2.3 Skapa api-nyckel för hantering
När du är i EPP öppnar du kontoinställningar i det övre högra hörnet. Välj sedan Hämta api-nyckel för hantering. Om nyckeln har skapats tidigare kan den också läsas där.
2.4 Installera Anslut eller
Om du vill installera Element Anslut eller följa Element Anslut eller Docs.
2.5 Konfigurera vidarebefordran av händelser
Om API-åtkomst inte har konfigurerats under installationen följer du Konfigurera API-åtkomst för Element Anslut eller. Gå sedan till EPP, sedan Profiler och använd sedan For Anslut or där du kan se anslutningsprofilerna. Skapa en ny profil (eller redigera en befintlig inte skrivskyddad profil). I Vidarebefordran av händelser aktiverar du det. SIEM-systemadress: 127.0.0.1:514. Ange format till Common Event Format. Protokollet är TCP. Spara profilen och tilldela den till Element Anslut eller på fliken Enheter.
- Verifiera anslutningen
Följ anvisningarna för att verifiera anslutningen:
Öppna Log Analytics för att kontrollera om loggarna tas emot med hjälp av CommonSecurityLog-schemat.
Det kan ta cirka 20 minuter innan anslutningen strömmar data till din arbetsyta.
Om loggarna inte tas emot kör du följande anslutningsverifieringsskript:
- Kontrollera att du har Python på datorn med följande kommando: python -version
- Du måste ha utökade behörigheter (sudo) på datorn
Kör följande kommando för att verifiera anslutningen:
sudo wget -O cef_troubleshoot.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/CEF/cef_troubleshoot.py&&sudo python cef_troubleshoot.py {0}
Använd kommandot för python3 nedan:
sudo wget -O cef_troubleshoot.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/CEF/cef_troubleshoot.py&&sudo python3 cef_troubleshoot.py {0}
- Skydda datorn
Se till att konfigurera datorns säkerhet enligt organisationens säkerhetsprincip
Nästa steg
Mer information finns i den relaterade lösningen på Azure Marketplace.