Microsoft Sentinel için Trend Micro Deep Security bağlayıcısı
Trend Micro Deep Security bağlayıcısı, panoları görüntülemek, özel uyarılar oluşturmak ve araştırmayı geliştirmek için Derin Güvenlik günlüklerinizi Microsoft Sentinel'e kolayca bağlamanızı sağlar. Bu, kuruluşunuzun ağları/sistemleri hakkında daha fazla içgörü sağlar ve güvenlik işlemi özelliklerinizi geliştirir.
Bu, otomatik olarak oluşturulan içeriktir. Değişiklikler için çözüm sağlayıcısına başvurun.
Bağlan or öznitelikleri
Bağlan or özniteliği | Açıklama |
---|---|
Kusto işlev url'si | https://aka.ms/TrendMicroDeepSecurityFunction |
Log Analytics tabloları | CommonSecurityLog (TrendMicroDeepSecurity) |
Veri toplama kuralları desteği | Çalışma alanı dönüştürme DCR |
Destekleyen: | Trend Micro |
Sorgu örnekleri
İzinsiz Giriş Önleme Olayları
TrendMicroDeepSecurity
| where DeepSecurityModuleName == "Intrusion Prevention"
| sort by TimeGenerated
Bütünlük İzleme Olayları
TrendMicroDeepSecurity
| where DeepSecurityModuleName == "Integrity Monitoring"
| sort by TimeGenerated
Güvenlik Duvarı Olayları
TrendMicroDeepSecurity
| where DeepSecurityModuleName == "Firewall Events"
| sort by TimeGenerated
Denetleme Olaylarını Günlüğe Kaydet
TrendMicroDeepSecurity
| where DeepSecurityModuleName == "Log Inspection"
| sort by TimeGenerated
Kötü Amaçlı Yazılımdan Koruma Olayları
TrendMicroDeepSecurity
| where DeepSecurityModuleName == "Anti-Malware"
| sort by TimeGenerated
Web Saygınlığı Olayları
TrendMicroDeepSecurity
| where DeepSecurityModuleName == "Web Reputation"
| sort by TimeGenerated
Satıcı yükleme yönergeleri
- Linux Syslog aracısı yapılandırması
Ortak Olay Biçimi (CEF) Syslog iletilerinizi toplamak ve Bunları Microsoft Sentinel'e iletmek için Linux aracısını yükleyin ve yapılandırın.
Tüm bölgelerdeki verilerin seçili çalışma alanında depolanacağına dikkat edin
1.1 Linux makinesi seçme veya oluşturma
Microsoft Sentinel'in güvenlik çözümünüzle Microsoft Sentinel arasında ara sunucu olarak kullanacağı bir Linux makinesi seçin veya oluşturun. Bu makine şirket içi ortamınızda, Azure'da veya diğer bulutlarda olabilir.
1.2 Linux makinesine CEF toplayıcısını yükleme
Linux makinenize Microsoft Monitoring Agent'ı yükleyin ve makineyi gerekli bağlantı noktasını dinleyecek ve iletileri Microsoft Sentinel çalışma alanınıza iletecek şekilde yapılandırın. CEF toplayıcısı 514 TCP numaralı bağlantı noktasında CEF iletilerini toplar.
- Aşağıdaki komutu kullanarak makinenizde Python olduğundan emin olun: python -version.
- Makinenizde yükseltilmiş izinlere (sudo) sahip olmanız gerekir.
CEF toplayıcısını yüklemek ve uygulamak için aşağıdaki komutu çalıştırın:
sudo wget -O cef_installer.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/CEF/cef_installer.py&&sudo python cef_installer.py {0} {1}
Trend Micro Deep Security günlüklerini Syslog aracısına iletme
Güvenlik çözümünüzü Syslog iletilerini ara sunucu makinesine CEF biçiminde gönderecek şekilde ayarlayın. Günlükleri makinenin IP adresindeki 514 NUMARALı TCP bağlantı noktasına gönderdiğinizden emin olun.
Trend Micro Deep Security olaylarını Syslog aracısına iletin.
Ek bilgi için bu bilgi bankası makalesine başvurarak CEF biçimini kullanan yeni bir Syslog Yapılandırması tanımlayın.
Bu yönergeleri kullanarak Olayları Syslog aracısına iletmek için Deep Security Manager'ı bu yeni yapılandırmayı kullanacak şekilde yapılandırın.
TrendMicroDeepSecurity işlevini, Trend Micro Deep Security verilerini düzgün bir şekilde sorgulaması için kaydettiğinizden emin olun.
Bağlantıyı doğrulama
Bağlantınızı doğrulamak için yönergeleri izleyin:
Günlüklerin CommonSecurityLog şeması kullanılarak alınılıp alınmadığını denetlemek için Log Analytics'i açın.
Bağlantının çalışma alanınıza veri akışı gerçekleştirmesi yaklaşık 20 dakika sürebilir.
Günlükler alınmazsa aşağıdaki bağlantı doğrulama betiğini çalıştırın:
- Aşağıdaki komutu kullanarak makinenizde Python olduğundan emin olun: python -version
- Makinenizde yükseltilmiş izinlere (sudo) sahip olmanız gerekir
Bağlantınızı doğrulamak için aşağıdaki komutu çalıştırın:
sudo wget -O cef_troubleshoot.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/CEF/cef_troubleshoot.py&&sudo python cef_troubleshoot.py {0}
- Makinenizin güvenliğini sağlama
Makinenin güvenliğini kuruluşunuzun güvenlik ilkesine göre yapılandırdığından emin olun
Sonraki adımlar
Daha fazla bilgi için Azure Market ilgili çözüme gidin.