共用方式為


適用於 Microsoft Sentinel 的 Claroty xDome 連接器

Claroty xDome 提供醫療保健和產業網路環境的完整安全性和警示管理功能。 其設計目的是對應多個來源類型、識別收集的數據,並將其整合到 Microsoft Sentinel 數據模型中。 這會導致在一個位置監視醫療保健和工業環境中所有潛在威脅的能力,進而產生更有效的安全性監視和更強大的安全性狀態。

這是自動產生的內容。 如需變更,請連絡解決方案提供者。

連接器屬性

連接器屬性 描述
記錄分析資料表 CommonSecurityLog (ClarotyxDome)
資料收集規則支援 工作區轉換 DCR
支援者: xDome 客戶支援

查詢範例

從 Claroty xDome 擷取記錄


CommonSecurityLog

| where DeviceVendor in ("Medigate", "Claroty") 
| sort by TimeGenerated

廠商安裝指示

1.0 Linux Syslog 代理程式設定

安裝並設定 Linux 代理程式,以收集常見事件格式 (CEF) 的 Syslog 訊息,然後將這些訊息轉送至 Microsoft Sentinel。

請注意,所有區域的資料皆會儲存在選取的工作區中

1.1 選取或建立 Linux 電腦

選取或建立 Linux 機器,Microsoft Sentinel 將使用此機器作為安全性解決方案與 Microsoft Sentinel 之間的 Proxy。此機器可以在內部部署環境、Azure 或其他雲端中。

1.2 在 Linux 電腦上安裝 CEF 收集器

在 Linux 機器上安裝 Microsoft Monitoring Agent,並將該機器設定為在必要的連接埠上接聽訊息,然後將這些訊息轉送至 Microsoft Sentinel 工作區。 CEF 收集器會在連接埠 514 TCP 上收集 CEF 訊息。

  1. 請使用下列命令,確定機器上有 Python:python --version。

  2. 您在機器上必須具有更高的權限 (sudo)。

    請執行下列命令安裝及套用 CEF 收集器:

    sudo wget -O cef_installer.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/CEF/cef_installer.py&&sudo python cef_installer.py {0} {1}

  3. 將常見事件格式 (CEF) 記錄轉送到 Syslog 代理程式

    設定 Claroty xDome - Microsoft Sentinel 整合以收集您的通用事件格式 (CEF) Syslog 訊息,並將其轉送到 Microsoft Sentinel。

  4. 驗證連線

請遵循指示以驗證連線能力:

開啟 Log Analytics,檢查是否使用 CommonSecurityLog 結構描述接收記錄。

連線將資料串流至工作區可能需要大約 20 分鐘的時間。

若未收到記錄,請執行下列連線驗證指令碼:

  1. 請使用下列命令,確定機器上有 Python:python --version

  2. 機器上必須具有更高的權限 (sudo)

    請執行下列命令驗證連線能力:

    sudo wget -O cef_troubleshoot.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/CEF/cef_troubleshoot.py&&sudo python cef_troubleshoot.py {0}

  3. 保護您的機器

請務必根據組織的安全性原則設定機器的安全性

深入了解

下一步

如需詳細資訊,請移至 Azure Marketplace 中的相關解決方案