Microsoft Sentinel 的 Awake Security 連接器

  • 發行項

Awake Security CEF 連接器可讓使用者將偵測模型比對從 Awake Security Platform 傳送給 Microsoft Sentinel。 利用網路偵測和響應的強大功能快速補救威脅,並透過深入可見度加速調查,特別是對非受控實體,包括網路上的使用者、裝置和應用程式。 連接器也可讓您建立以網路安全性為主的自定義警示、事件、活頁簿和筆記本,以符合您現有的安全性作業工作流程。

這是自動產生的內容。 如需變更,請連絡解決方案提供者。

連線 or 屬性

連線 or 屬性 描述
Log Analytics 數據表(s) CommonSecurityLog (AwakeSecurity)
數據收集規則支援 工作區轉換 DCR
支援者: Arista - 喚醒安全性

查詢範例

依嚴重性比對的前 5 個對抗模型

union CommonSecurityLog

| where DeviceVendor == "Arista Networks" and DeviceProduct == "Awake Security"

| summarize  TotalActivities=sum(EventCount) by Activity,LogSeverity

| top 5 by LogSeverity desc

依裝置風險分數的前5名裝置

CommonSecurityLog 
| where DeviceVendor == "Arista Networks" and DeviceProduct == "Awake Security" 
| extend DeviceCustomNumber1 = coalesce(column_ifexists("FieldDeviceCustomNumber1", long(null)), DeviceCustomNumber1, long(null)) 
| summarize MaxDeviceRiskScore=max(DeviceCustomNumber1),TimesAlerted=count() by SourceHostName=coalesce(SourceHostName,"Unknown") 
| top 5 by MaxDeviceRiskScore desc

廠商安裝指示

  1. Linux Syslog 代理程式設定

安裝並設定 Linux 代理程式以收集您的一般事件格式 (CEF) Syslog 訊息,並將其轉送至 Microsoft Sentinel。

請注意,所有區域的資料皆會儲存在選取的工作區中

1.1 選取或建立 Linux 電腦

選取或建立 Microsoft Sentinel 將作為安全性解決方案與 Microsoft Sentinel 之間 Proxy 的 Linux 計算機,此計算機可以位於內部部署環境、Azure 或其他雲端上。

1.2 在 Linux 電腦上安裝 CEF 收集器

在Linux電腦上安裝 Microsoft Monitoring Agent,並將機器設定為在必要的埠上接聽,並將訊息轉寄至您的 Microsoft Sentinel 工作區。 CEF 收集器會收集埠 514 TCP 上的 CEF 訊息。

  1. 使用下列命令確定您的電腦上有 Python:python -version。
  1. 您在機器上必須具有更高的權限 (sudo)。

請執行下列命令安裝及套用 CEF 收集器:

sudo wget -O cef_installer.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/CEF/cef_installer.py&&sudo python cef_installer.py {0} {1}

  1. 將醒覺的對立模型比對結果與CEF收集器。

執行下列步驟,將 Awake Adversarial 模型比對結果轉送至接聽 IP 192.168.0.1 TCP 連接埠 514 的 CEF 收集器:

  • 流覽至 [喚醒 UI] 中的 [偵測管理技能] 頁面。
  • 按兩下 [+ 新增技能]。
  • 將 [表達式] 欄位設定為 ,

integrations.cef.tcp { destination: “192.168.0.1”, port: 514, secure: false, severity: Warning }

  • 將 [標題] 欄位設定為描述性名稱,例如,

將反面模型比對結果轉寄至 Microsoft Sentinel。

  • 將 [參考標識符] 設定為容易探索到的內容,例如:

integrations.cef.sentinel-forwarder

  • 按一下 [檔案] 。

注意:在儲存定義和其他欄位的幾分鐘內,系統會在偵測到新模型比對結果時,開始將新的模型比對結果傳送至 CEF 事件收集器。

如需詳細資訊,請參閱 從喚醒 UI 中的說明檔新增安全性資訊和事件管理推送整合 頁面。

  1. 驗證連線

請遵循指示來驗證您的連線能力:

開啟 Log Analytics 以檢查記錄是否使用 CommonSecurityLog 架構接收。

線上將數據串流至您的工作區可能需要大約 20 分鐘的時間。

如果未收到記錄,請執行下列連線驗證腳本:

  1. 使用下列命令確定您的電腦上有 Python:python -version
  1. 您必須在機器上擁有更高的權限 (sudo)

執行下列命令來驗證您的連線能力:

sudo wget -O cef_troubleshoot.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/CEF/cef_troubleshoot.py&&sudo python cef_troubleshoot.py {0}

  1. 保護您的機器

請務必根據組織的安全策略來設定計算機的安全性

深入了解>

下一步

如需詳細資訊,請移至 Azure Marketplace 中的相關解決方案