Microsoft Sentinel için AI Vectra Stream bağlayıcısı
AI Vectra Stream bağlayıcısı, Ağ ve Bulut genelinde Vectra Algılayıcıları tarafından toplanan Ağ Meta Verilerini Microsoft Sentinel'e göndermeye olanak tanır
Bu, otomatik olarak oluşturulan içeriktir. Değişiklikler için çözüm sağlayıcısına başvurun.
Bağlan or öznitelikleri
| Bağlan or özniteliği | Açıklama |
|---|---|
| Log Analytics tabloları | VectraStream_CL |
| Veri toplama kuralları desteği | Şu anda desteklenmiyor |
| Destekleyen: | Vectra AI |
Sorgu örnekleri
Tüm DNS Sorgularını Listele
VectraStream
| where metadata_type == "metadat_dns"
| project orig_hostname, id_orig_h, resp_hostname, id_resp_h, id_resp_p, qtype_name, ['query'], answers
Tür başına DNS isteği sayısı
VectraStream
| where metadata_type == "metadat_dns"
| summarize count() by type_name
Mevcut olmayan etki alanına yapılan sorgunun ilk 10'u
VectraStream
| where metadata_type == "metadat_dns"
| where rcode_name == "NXDomain"
| summarize Count=count() by tostring(query)
| order by Count desc
| limit 10
Kısa ömürlü olmayan Diffie-Hellman anahtar değişimini kullanan konak ve Web siteleri
VectraStream
| where metadata_type == "metadat_dns"
| where cipher contains "TLS_RSA"
| distinct orig_hostname, id_orig_h, id_resp_h, server_name, cipher
| project orig_hostname, id_orig_h, id_resp_h, server_name, cipher
Önkoşullar
AI Vectra Stream ile tümleştirmek için aşağıdakilere sahip olduğunuzdan emin olun:
- Vectra AI Brain: JSON'da Stream meta verilerini dışarı aktaracak şekilde yapılandırılmalıdır
Satıcı yükleme yönergeleri
Not
Bu veri bağlayıcısı, Microsoft Sentinel Çözümü ile dağıtılan beklenen VectraStream işlevinin çalışması için Kusto İşlevini temel alan bir ayrıştırıcıya bağlıdır.
- Linux için aracıyı yükleme ve ekleme
Sperate Linux örneğine Linux aracısını yükleyin.
Günlükler yalnızca Linux aracılarından toplanır.
- Toplanacak günlükleri yapılandırma
Vectra Stream meta verilerini Microsoft Sentinel'e almak için aşağıdaki yapılandırma adımlarını izleyin. Log Analytics aracısı, Azure İzleyici'ye özel JSON göndermek için kullanılır ve meta verilerin özel bir tabloda depolanmasını sağlar. Daha fazla bilgi için Bkz. Azure İzleyici Belgeleri.
Log Analytics aracısı için yapılandırma dosyasını indirin: VectraStream.conf (Vectra çözümündeki Bağlan or klasöründe bulunur: https://aka.ms/sentinel-aivectrastream-conf).
Azure Log Analytics aracısını yüklediğiniz sunucuda oturum açın.
VectraStream.conf dosyasını /etc/opt/microsoft/omsagent/workspace_id/conf/omsagent.d/ klasörüne kopyalayın.
VectraStream.conf dosyasını aşağıdaki gibi düzenleyin:
i. isterseniz, veri göndermek için alternatif bir bağlantı noktası yapılandırın. Varsayılan bağlantı noktası 29009'dir.
ii. workspace_id değerini Çalışma Alanı Kimliğinizin gerçek değeriyle değiştirin.
Aşağıdaki komutla değişiklikleri kaydedin ve Linux hizmeti için Azure Log Analytics aracısını yeniden başlatın: sudo /opt/microsoft/omsagent/bin/service_control yeniden başlatma
Vectra AI Stream'i yapılandırma ve bağlama
Vectra AI Brain'ı, Stream meta verilerini JSON biçiminde Log Analytics Aracısı aracılığıyla Microsoft Sentinel çalışma alanınıza iletecek şekilde yapılandırın.
Vectra kullanıcı arabiriminden Ayarlar > Cognito Stream'e gidin ve Hedef yapılandırmayı düzenleyin:
Yayımcı: RAW JSON'ı seçin
Sunucu IP'sini veya ana bilgisayar adını (Log Analytics Aracısı'nı çalıştıran konak) ayarlayın
Tüm bağlantı noktasını 29009 olarak ayarlayın (gerekirse bu bağlantı noktası değiştirilebilir)
Kaydet
Günlük türlerini ayarlama (Kullanılabilir tüm günlük türlerini seçin)
Kaydet'e tıklayın
Sonraki adımlar
Daha fazla bilgi için Azure Market ilgili çözüme gidin.