[已淘汰]AI Vectra Stream via Legacy Agent connector for Microsoft Sentinel
重要
許多設備與裝置的記錄收集現在都透過下列項目支援:透過 AMA 的常見事件格式 (CEF)、透過 AMA 的 Syslog,或透過 Microsoft Sentinel 中 AMA 資料連接器的自訂記錄。 如需詳細資訊,請參閱尋找您的 Microsoft Sentinel 資料連接器。
AI Vectra Stream 連接器允許透過網路和雲端將 Vectra 感應器收集的網路中繼資料傳送至 Microsoft Sentinel
這是自動產生的內容。 如需變更,請連絡解決方案提供者。
連接器屬性
| 連接器屬性 | 描述 |
|---|---|
| 記錄分析資料表 | VectraStream_CL |
| 資料收集規則支援 | 目前不支援 |
| 支援者 | Vectra AI |
查詢範例
列出所有 DNS 查詢
VectraStream
| where metadata_type == "metadat_dns"
| project orig_hostname, id_orig_h, resp_hostname, id_resp_h, id_resp_p, qtype_name, ['query'], answers
每個類型的 DNS 要求數目
VectraStream
| where metadata_type == "metadat_dns"
| summarize count() by qtype_name
非現有網域的前 10 大查詢
VectraStream
| where metadata_type == "metadat_dns"
| where rcode_name == "NXDomain"
| summarize Count=count() by tostring(query)
| order by Count desc
| limit 10
使用非暫時性 Diffie-Hellman 金鑰交換的主機和網站
VectraStream
| where metadata_type == "metadat_dns"
| where cipher contains "TLS_RSA"
| distinct orig_hostname, id_orig_h, id_resp_h, server_name, cipher
| project orig_hostname, id_orig_h, id_resp_h, server_name, cipher
必要條件
若要透過舊版代理程式與 AI Vectra Stream 整合,請確定您有:
- Vectra AI Brain:必須設定為以 JSON 中匯出串流中繼資料
廠商的安裝指示
注意
此資料連接器會依賴基於 Kusto Function 的剖析器與 Microsoft Sentinel 解決方案一起部署的 VectraStream 按預期運作。
- 安裝 Linux 代理程式並將其上線
在個別的 Linux 執行個體上安裝 Linux 代理程式。
記錄只會從 Linux 代理程式收集。
- 設定要收集的記錄
請遵循下列設定步驟,將 Vectra Stream 中繼資料放入 Microsoft Sentinel。 Log Analytics 代理程式可用來將自訂 JSON 傳送至 Azure 監視器,以將中繼資料儲存到自訂資料表。 如需詳細資訊,請參閱 Azure 監視器文件。
下載 Log Analytics 代理程式的組態檔:VectraStream.conf (位於 Vectra 解決方案內的 Connector 資料夾中:https://aka.ms/sentinel-aivectrastream-conf)。
登入您已安裝 Azure記錄分析代理程式的伺服器。
將 VectraStream.conf 複製到 /etc/opt/microsoft/omsagent/workspace_id/conf/omsagent.d/ 資料夾。
編輯 VectraStream.conf,如下所示:
i. 如有需要,請設定資料要傳送至的替代連接埠。 預設連接埠為 29009。
ii. 將 workspace_id 取代為工作區識別碼的實際值。
使用下列命令來儲存變更並重新啟動適用於 Linux 的 Azure Log Analytics 代理程式:sudo /opt/microsoft/omsagent/bin/service_control restart
設定及連線 Vectra AI Stream
設定 Vectra AI Brain,透過 Log Analytics 代理程式以 JSON 格式將串流中繼資料轉送到您的 Microsoft Sentinel 工作區。
從 Vectra UI,瀏覽至 [設定] > [Cognito Stream] 及編輯目的地組態:
選取發行者:RAW JSON
設定伺服器 IP 或主機名稱 (這是執行 Log Analytics 代理程式的主機)
將所有連接埠設定為 29009 (此連接埠可視需要修改)
儲存
設定記錄類型 (選取所有可用的記錄類型)
按一下 [儲存]
下一步
如需詳細資訊,請移至 Azure Marketplace 中的相關解決方案 (英文)。