Microsoft Sentinel 的 Awake Security 連接器
Awake Security CEF 連接器可讓使用者將偵測模型比對從 Awake Security Platform 傳送給 Microsoft Sentinel。 利用網路偵測和響應的強大功能快速補救威脅,並透過深入可見度加速調查,特別是對非受控實體,包括網路上的使用者、裝置和應用程式。 連接器也可讓您建立以網路安全性為主的自定義警示、事件、活頁簿和筆記本,以符合您現有的安全性作業工作流程。
這是自動產生的內容。 如需變更,請連絡解決方案提供者。
連線 or 屬性
連線 or 屬性 | 描述 |
---|---|
Log Analytics 數據表(s) | CommonSecurityLog (AwakeSecurity) |
數據收集規則支援 | 工作區轉換 DCR |
支援者: | Arista - 喚醒安全性 |
查詢範例
依嚴重性比對的前 5 個對抗模型
union CommonSecurityLog
| where DeviceVendor == "Arista Networks" and DeviceProduct == "Awake Security"
| summarize TotalActivities=sum(EventCount) by Activity,LogSeverity
| top 5 by LogSeverity desc
依裝置風險分數的前5名裝置
CommonSecurityLog
| where DeviceVendor == "Arista Networks" and DeviceProduct == "Awake Security"
| extend DeviceCustomNumber1 = coalesce(column_ifexists("FieldDeviceCustomNumber1", long(null)), DeviceCustomNumber1, long(null))
| summarize MaxDeviceRiskScore=max(DeviceCustomNumber1),TimesAlerted=count() by SourceHostName=coalesce(SourceHostName,"Unknown")
| top 5 by MaxDeviceRiskScore desc
廠商安裝指示
- Linux Syslog 代理程式設定
安裝並設定 Linux 代理程式以收集您的一般事件格式 (CEF) Syslog 訊息,並將其轉送至 Microsoft Sentinel。
請注意,所有區域的資料皆會儲存在選取的工作區中
1.1 選取或建立 Linux 電腦
選取或建立 Microsoft Sentinel 將作為安全性解決方案與 Microsoft Sentinel 之間 Proxy 的 Linux 計算機,此計算機可以位於內部部署環境、Azure 或其他雲端上。
1.2 在 Linux 電腦上安裝 CEF 收集器
在Linux電腦上安裝 Microsoft Monitoring Agent,並將機器設定為在必要的埠上接聽,並將訊息轉寄至您的 Microsoft Sentinel 工作區。 CEF 收集器會收集埠 514 TCP 上的 CEF 訊息。
- 使用下列命令確定您的電腦上有 Python:python -version。
- 您在機器上必須具有更高的權限 (sudo)。
請執行下列命令安裝及套用 CEF 收集器:
sudo wget -O cef_installer.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/CEF/cef_installer.py&&sudo python cef_installer.py {0} {1}
- 將醒覺的對立模型比對結果與CEF收集器。
執行下列步驟,將 Awake Adversarial 模型比對結果轉送至接聽 IP 192.168.0.1 TCP 連接埠 514 的 CEF 收集器:
- 流覽至 [喚醒 UI] 中的 [偵測管理技能] 頁面。
- 按兩下 [+ 新增技能]。
- 將 [表達式] 欄位設定為 ,
integrations.cef.tcp { destination: “192.168.0.1”, port: 514, secure: false, severity: Warning }
- 將 [標題] 欄位設定為描述性名稱,例如,
將反面模型比對結果轉寄至 Microsoft Sentinel。
- 將 [參考標識符] 設定為容易探索到的內容,例如:
integrations.cef.sentinel-forwarder
- 按一下 [檔案] 。
注意:在儲存定義和其他欄位的幾分鐘內,系統會在偵測到新模型比對結果時,開始將新的模型比對結果傳送至 CEF 事件收集器。
如需詳細資訊,請參閱 從喚醒 UI 中的說明檔新增安全性資訊和事件管理推送整合 頁面。
- 驗證連線
請遵循指示來驗證您的連線能力:
開啟 Log Analytics 以檢查記錄是否使用 CommonSecurityLog 架構接收。
線上將數據串流至您的工作區可能需要大約 20 分鐘的時間。
如果未收到記錄,請執行下列連線驗證腳本:
- 使用下列命令確定您的電腦上有 Python:python -version
- 您必須在機器上擁有更高的權限 (sudo)
執行下列命令來驗證您的連線能力:
sudo wget -O cef_troubleshoot.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/CEF/cef_troubleshoot.py&&sudo python cef_troubleshoot.py {0}
- 保護您的機器
請務必根據組織的安全策略來設定計算機的安全性
下一步
如需詳細資訊,請移至 Azure Marketplace 中的相關解決方案 。