[已弃用]WithSecure Elements via connector for Microsoft Sentinel
重要
现在,Microsoft Sentinel 中的“通过 AMA 的通用事件格式 (CEF)”、“通过 AMA 的 Syslog”或“通过 AMA 的自定义日志”数据连接器支持从许多设备收集日志。 如需详细信息,请参阅查找 Microsoft Sentinel 数据连接器。
WithSecure Elements 是基于云的统一网络安全平台。 通过连接器将 WithSecure Elements 连接到 Microsoft Sentinel 后,可以通过 syslog 接收通用事件格式 (CEF) 的安全事件。 需要在本地或云中部署“Elements 连接器”。 通用事件格式 (CEF) 原生为每个数据日志提供搜索和关联、警报及威胁情报扩充。
这是自动生成的内容。 有关更改,请联系解决方案提供商。
连接器属性
连接器属性 | 说明 |
---|---|
Log Analytics 表 | CommonSecurityLog (WithSecure Events) |
数据收集规则支持 | 工作区转换 DCR |
支持的服务 | WithSecure |
查询示例
所有日志
CommonSecurityLog
| where DeviceVendor == "WithSecure™"
| sort by TimeGenerated
供应商安装说明
- Linux Syslog 代理配置
安装并配置 Linux 代理,以收集通用事件格式 (CEF) Syslog 消息,并将其转发到 Microsoft Sentinel。
请注意,来自所有区域的数据将存储在所选工作区中
1.1 选择或创建 Linux 计算机
选择或创建一个 Linux 计算机,Microsoft Sentinel 将使用它作为 WithSecurity 解决方案与 Sentinel 之间的代理。 该计算机可以基于本地环境、Microsoft Azure 或其他云。
在 Linux 上需要安装
syslog-ng
和python
/python3
。
1.2 在 Linux 计算机上安装 CEF 收集器
在 Linux 计算机上安装 Microsoft Monitoring Agent,然后将计算机配置为侦听所需的端口并将消息转发到 Microsoft Sentinel 工作区。 该 CEF 收集器在端口 514 TCP 上收集 CEF 消息。
- 使用以下命令确保已在计算机上安装 Python:python -version。
- 你必须在计算机上拥有提升的权限 (sudo)。
运行以下命令安装并应用 CEF 收集器:
sudo wget -O cef_installer.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/CEF/cef_installer.py&&sudo python cef_installer.py {0} {1}
对于 python3,请使用以下命令:
sudo wget -O cef_installer.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/CEF/cef_installer.py&&sudo python3 cef_installer.py {0} {1}
- 将数据从 WithSecure Elements 连接器转发到 Syslog 代理
下面介绍如何逐步安装和配置 Elements 连接器。
2.1 订购连接器订阅
如果尚未订购连接器订阅,请在 Elements 门户中转到“EPP”。 然后导航到“下载”,并在“Elements 连接器”部分中单击“创建订阅密钥”按钮。 可以在“订阅”中检查你的订阅密钥。
2.2 下载连接器
转到“下载”,并在“WithSecure Elements 连接器”部分中选择正确的安装程序。
2.3 创建管理 API 密钥
在 EPP 中的右上角打开帐户设置。 然后选择“获取管理 API 密钥”。 如果之前已创建密钥,则也可以在此处查看密钥。
2.4 安装连接器
若要安装 Elements 连接器,请按照 Elements 连接器文档进行操作。
2.5 配置事件转发
如果在安装期间未配置 API 访问,请按照为 Elements 连接器配置 API 访问进行操作。 依次转到“EPP”、“配置文件”、“用于连接器”,从中可以查看连接器配置文件。 创建新的配置文件(或编辑现有的非只读配置文件)。 启用“事件转发”。 SIEM 系统地址:127.0.0.1:514。 将格式设置为“通用事件格式”。 协议为 TCP。 保存配置文件并将其分配到“设备”选项卡中的“Elements 连接器”。
- 验证连接
按照说明验证连接性:
打开 Log Analytics,检查是否使用 CommonSecurityLog 架构收到了日志。
连接将数据流式传输到工作区可能大约需要 20 分钟。
如果未收到日志,请运行以下连接验证脚本:
- 使用以下命令确保已在计算机上安装 Python:python -version
- 必须在计算机上拥有提升的权限 (sudo)
运行以下命令以验证连接:
sudo wget -O cef_troubleshoot.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/CEF/cef_troubleshoot.py&&sudo python cef_troubleshoot.py {0}
对于 python3,请使用以下命令:
sudo wget -O cef_troubleshoot.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/CEF/cef_troubleshoot.py&&sudo python3 cef_troubleshoot.py {0}
- 保护计算机
确保根据组织的安全策略配置计算机的安全性
后续步骤
有关详细信息,请转到 Azure 市场中的相关解决方案。