Microsoft Sentinel 的 Tenable Identity Exposure 連接器
Tenable Identity Exposure 連接器可讓曝光指標、攻擊指標和尾流記錄擷取至 Microsoft Sentinel。不同的工作書籍和數據剖析器可讓您更輕鬆地操作記錄並監視 Active Directory 環境。 分析範本可讓您自動化有關不同事件、曝光和攻擊的回應。
這是自動產生的內容。 如需變更,請連絡解決方案提供者。
連接器屬性
| 連接器屬性 | 描述 |
|---|---|
| Kusto 函數別名 | afad_parser |
| 記錄分析資料表 | Tenable_IE_CL |
| 資料收集規則支援 | 目前不支援 |
| 支援者: | 成立 |
查詢範例
取得每個 IoE 觸發的警示數目
afad_parser
| where MessageType == 0
| summarize AlertCount = count() by Codename
取得所有嚴重性優於閾值的IoE警示
let threshold = 2;
let SeverityTable=datatable(Severity:string,Level:int) [
"low", 1,
"medium", 2,
"high", 3,
"critical", 4
];
afad_parser
| where MessageType == 0
| lookup kind=leftouter SeverityTable on Severity
| where Level >= ['threshold']
取得過去 24 小時內的所有 IoE 警示
afad_parser
| where MessageType == 0 and TimeGenerated > ago(1d)
取得過去 7 天的所有 IoE 警示
afad_parser
| where MessageType == 0 and TimeGenerated > ago(7d)
取得過去 30 天的所有 IoE 警示
afad_parser
| where MessageType == 0 and TimeGenerated > ago(30d)
取得過去 24 小時內的所有尾流變更
afad_parser
| where MessageType == 1 and TimeGenerated > ago(1d)
取得過去 7 天的所有尾端流程變更
afad_parser
| where MessageType == 1 and TimeGenerated > ago(7d)
取得每個 IoA 觸發的警示數目
afad_parser
| where MessageType == 2
| summarize AlertCount = count() by Codename
取得過去 30 天的所有 IoA 警示
afad_parser
| where MessageType == 2 and TimeGenerated > ago(30d)
必要條件
若要與 Tenable 身分識別曝光整合,請確定您有:
- TenableIE 設定的存取權:設定 syslog 警示引擎的許可權
廠商安裝指示
此數據連接器相依於 以 Kusto 函式為基礎的afad_parser ,以如預期般運作,其會與Microsoft Sentinel 解決方案一起部署。
設定 Syslog 伺服器
您必須先需要 TenableIE 將傳送記錄的 Linux Syslog 伺服器。 一般而言,您可以在Ubuntu上執行rsyslog。 然後,您可以視需要設定此伺服器,但建議您能夠在個別的檔案中輸出 TenableIE 記錄。
設定 rsyslog 以接受來自 TenableIE IP 位址的記錄。:
sudo -i # Set TenableIE source IP address export TENABLE_IE_IP={Enter your IP address} # Create rsyslog configuration file cat > /etc/rsyslog.d/80-tenable.conf << EOF \$ModLoad imudp \$UDPServerRun 514 \$ModLoad imtcp \$InputTCPServerRun 514 \$AllowedSender TCP, 127.0.0.1, $TENABLE_IE_IP \$AllowedSender UDP, 127.0.0.1, $TENABLE_IE_IP \$template MsgTemplate,"%TIMESTAMP:::date-rfc3339% %HOSTNAME% %programname%[%procid%]:%msg%\n" \$template remote-incoming-logs, "/var/log/%PROGRAMNAME%.log" *.* ?remote-incoming-logs;MsgTemplate EOF # Restart rsyslog systemctl restart rsyslog安裝並上線適用於Linux的 Microsoft 代理程式
OMS 代理程式會收到 TenableIE syslog 事件,並在 Sentinel Microsoft發佈它。
檢查 Syslog 伺服器上的代理程序記錄
tail -f /var/opt/microsoft/omsagent/log/omsagent.log設定 TenableIE 將記錄傳送至您的 Syslog 伺服器
在您的 TenableIE 入口網站上,移至 [系統]、[設定] 和 [Syslog]。 您可以從該處,針對 Syslog 伺服器建立新的 Syslog 警示。
完成此動作之後,請檢查記錄是否已正確收集到您伺服器上的個別檔案中(若要這樣做,您可以使用 TenableIE 中的 Syslog 警示設定中的 [測試組態 ] 按鈕。 如果您使用快速入門範本,則 Syslog 伺服器預設會接聽 UDP 中的埠 514 和 TCP 中的 1514,不含 TLS。
設定自訂記錄
設定代理程式以收集記錄。
在 Microsoft Sentinel 中,移至 [組態- 設定 ->> 工作區設定 -> 自定義記錄]。
按兩下 [ 新增自定義記錄]。
從執行 Syslog 伺服器的 Linux 計算機上傳範例TenableIE.log Syslog 檔案,然後按 [下一步]
如果還沒有大小寫,請將記錄分隔符設定為 [新增行 ],然後按 [下一步]。
選取 [Linux],然後輸入 Syslog 檔案的檔案路徑,然後按兩下 + [下一步]。 檔案的預設位置是
/var/log/TenableIE.log如果您有 Tenable 3.1.0 版 <,您也必須新增此 Linux 檔案位置/var/log/AlsidForAD.log。將 [ 名稱 ] 設定為 Tenable_IE_CL (Azure 會自動在名稱結尾新增 _CL ,必須只有一個,請確定名稱未 Tenable_IE_CL_CL)。
按兩下 [下一步],您會看到繼續,然後按兩下 [ 建立]。
敬祝您使用愉快!
您現在應該能夠接收Tenable_IE_CL數據表中的記錄,記錄數據可以使用所有查詢範例、活頁簿和分析範本所使用的 afad_parser() 函式來剖析。
下一步
如需詳細資訊,請移至 Azure Marketplace 中的相關解決方案 (英文)。