Microsoft Sentinel için bağlayıcı aracılığıyla WithSecure Öğeleri
WithSecure Elements, birleşik bir bulut tabanlı siber güvenlik platformudur. Bağlan veya Microsoft Sentinel aracılığıyla WithSecure Öğeleri'ne bağlanılarak, güvenlik olayları syslog üzerinden Ortak Olay Biçimi'nde (CEF) alınabilir. Şirket içinde veya bulutta "Elements Bağlan or" dağıtılması gerekir. Ortak Olay Biçimi (CEF), her veri günlüğü için yerel arama ve bağıntı, uyarı ve tehdit bilgileri zenginleştirmesi sağlar.
Bu, otomatik olarak oluşturulan içeriktir. Değişiklikler için çözüm sağlayıcısına başvurun.
Bağlan or öznitelikleri
Bağlan or özniteliği | Açıklama |
---|---|
Log Analytics tabloları | CommonSecurityLog (WithSecure Olayları) |
Veri toplama kuralları desteği | Çalışma alanı dönüştürme DCR |
Destekleyen: | WithSecure |
Sorgu örnekleri
Tüm günlükler
CommonSecurityLog
| where DeviceVendor == "WithSecure™"
| sort by TimeGenerated
Satıcı yükleme yönergeleri
- Linux Syslog aracısı yapılandırması
Ortak Olay Biçimi (CEF) Syslog iletilerinizi toplamak ve Bunları Microsoft Sentinel'e iletmek için Linux aracısını yükleyin ve yapılandırın.
Tüm bölgelerdeki verilerin seçili çalışma alanında depolanacağına dikkat edin
1.1 Linux makinesi seçme veya oluşturma
Microsoft Sentinel'in WithSecurity çözümünüzle Sentinel arasında ara sunucu olarak kullanacağı bir Linux makinesi seçin veya oluşturun. Makine şirket içi ortam, Microsoft Azure veya başka bir bulut tabanlı olabilir.
Linux'un sahip
syslog-ng
olması vepython
/python3
yüklemesi gerekir.
1.2 Linux makinesine CEF toplayıcısını yükleme
Linux makinenize Microsoft Monitoring Agent'ı yükleyin ve makineyi gerekli bağlantı noktasını dinleyecek ve iletileri Microsoft Sentinel çalışma alanınıza iletecek şekilde yapılandırın. CEF toplayıcısı 514 TCP numaralı bağlantı noktasında CEF iletilerini toplar.
- Aşağıdaki komutu kullanarak makinenizde Python olduğundan emin olun: python -version.
- Makinenizde yükseltilmiş izinlere (sudo) sahip olmanız gerekir.
CEF toplayıcısını yüklemek ve uygulamak için aşağıdaki komutu çalıştırın:
sudo wget -O cef_installer.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/CEF/cef_installer.py&&sudo python cef_installer.py {0} {1}
python3 için aşağıdaki komutu kullanın:
sudo wget -O cef_installer.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/CEF/cef_installer.py&&sudo python3 cef_installer.py {0} {1}
- WithSecure Öğeleri Bağlan veya syslog aracısına veri iletme
Bu, Öğeleri adım adım Bağlan yükleme ve yapılandırmayı açıklar.
2.1 Sipariş Bağlan veya aboneliği
Bağlan veya aboneliği henüz sipariş edilmediyse, Öğeler Portalı'nda EPP'ye gidin. Ardından İndirmeler'e gidin ve Öğeler Bağlan veya bölümünde 'Abonelik anahtarı oluştur' düğmesine tıklayın. Abonelikler'de Abonelik anahtarınız'a bakabilirsiniz.
2.2 İndir Bağlan veya
İndirmeler'e gidin ve WithSecure Elements Bağlan veya bölümünde doğru yükleyiciyi seçin.
2.3 Yönetim API'si anahtarı oluşturma
EPP'deyken sağ üst köşedeki hesap ayarlarını açın. Ardından Yönetim API anahtarını al'ı seçin. Anahtar daha önce oluşturulduysa, orada da okunabilir.
2.4 yükleme Bağlan veya
Öğeleri yüklemek Bağlan veya Öğeler Bağlan veya Docs'u izleyin.
2.5 Olay iletmeyi yapılandırma
Yükleme sırasında API erişimi yapılandırılmadıysa, Öğeler için API erişimini yapılandırma Bağlan veya'yı izleyin. Ardından EPP'ye, ardından Profiller'e gidin, ardından Bağlayıcı profillerini görebileceğiniz Bağlan veya için'i kullanın. Yeni bir profil oluşturun (veya var olan salt okunur olmayan bir profili düzenleyin). Olay iletme'de etkinleştirin. SIEM sistem adresi: 127.0.0.1:514. Biçimi Ortak Olay Biçimi olarak ayarlayın. Protokol TCP'dir. Profili kaydedin ve Cihazlar sekmesinde Öğeler Bağlan veya atayın.
- Bağlantıyı doğrulama
Bağlantınızı doğrulamak için yönergeleri izleyin:
Günlüklerin CommonSecurityLog şeması kullanılarak alınılıp alınmadığını denetlemek için Log Analytics'i açın.
Bağlantının çalışma alanınıza veri akışı gerçekleştirmesi yaklaşık 20 dakika sürebilir.
Günlükler alınmazsa aşağıdaki bağlantı doğrulama betiğini çalıştırın:
- Aşağıdaki komutu kullanarak makinenizde Python olduğundan emin olun: python -version
- Makinenizde yükseltilmiş izinlere (sudo) sahip olmanız gerekir
Bağlantınızı doğrulamak için aşağıdaki komutu çalıştırın:
sudo wget -O cef_troubleshoot.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/CEF/cef_troubleshoot.py&&sudo python cef_troubleshoot.py {0}
python3 için aşağıdaki komutu kullanın:
sudo wget -O cef_troubleshoot.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/CEF/cef_troubleshoot.py&&sudo python3 cef_troubleshoot.py {0}
- Makinenizin güvenliğini sağlama
Makinenin güvenliğini kuruluşunuzun güvenlik ilkesine göre yapılandırdığından emin olun
Sonraki adımlar
Daha fazla bilgi için Azure Market ilgili çözüme gidin.