適用於 Microsoft Sentinel 的 Corelight 連線 or 匯出工具連接器
Corelight 數據連接器可讓使用 Microsoft Sentinel 更快速且更有效率地工作的事件回應者和威脅搜捕者。 數據連接器可讓您透過 Corelight Sensors 從 Zeek 和 Suricata 擷取事件到 Microsoft Sentinel。
這是自動產生的內容。 如需變更,請連絡解決方案提供者。
連線 or 屬性
| 連線 or 屬性 | 描述 |
|---|---|
| Log Analytics 數據表(s) | corelight_bacnet corelight_capture_loss corelight_cip corelight_conn_long corelight_conn_red corelight_conn corelight_corelight_burst corelight_corelight_overall_capture_loss corelight_corelight_profiling corelight_datared corelight_dce_rpc corelight_dga corelight_dhcp corelight_dnp3 corelight_dns_red corelight_dns corelight_dpd corelight_encrypted_dns corelight_enip_debug corelight_enip_list_identity corelight_enip corelight_etc_viz corelight_files_red corelight_files corelight_ftp corelight_generic_dns_tunnels corelight_generic_icmp_tunnels corelight_http2 corelight_http_red corelight_http corelight_icmp_specific_tunnels corelight_intel corelight_ipsec corelight_irc corelight_iso_cotp corelight_kerberos corelight_known_certs corelight_known_devices corelight_known_domains corelight_known_hosts corelight_known_names corelight_known_remotes corelight_known_services corelight_known_users corelight_local_subnets_dj corelight_local_subnets_graphs corelight_local_subnets corelight_log4shell corelight_modbus corelight_mqtt_connect corelight_mqtt_publish corelight_mqtt_subscribe corelight_mysql corelight_notice corelight_ntlm corelight_ntp corelight_ocsp corelight_openflow corelight_packet_filter corelight_pe corelight_profinet_dce_rpc corelight_profinet_debug corelight_profinet corelight_radius corelight_rdp corelight_reporter corelight_rfb corelight_s7comm corelight_signatures corelight_sip corelight_smartpcap_stats corelight_smartpcap corelight_smb_files corelight_smb_mapping corelight_smtp_links corelight_smtp corelight_snmp corelight_socks corelight_software corelight_specific_dns_tunnels corelight_ssh corelight_ssl_red corelight_ssl corelight_stats corelight_stepping corelight_stun_nat corelight_stun corelight_suricata_corelight corelight_suricata_eve corelight_suricata_stats corelight_suricata_zeek_stats corelight_syslog corelight_tds_rpc corelight_tds_sql_batch corelight_tds corelight_traceroute corelight_tunnel Corelight corelight_unknown_smartpcap corelight_util_stats corelight_vpn corelight_weird_red corelight_weird_stats corelight_weird corelight_wireguard corelight_x509_red corelight_x509 corelight_zeek_doctor |
| 數據收集規則支援 | 工作區轉換 DCR |
| 支援者: | Corelight |
查詢範例
前 10 名用戶端 (來源 IP)
Corelight
| summarize count() by id_orig_h
| top 10 by count_
廠商安裝指示
注意
此數據連接器相依於以 Kusto 函式為基礎的剖析器,以如預期般 運作,而 Corelight 是使用 Microsoft Sentinel 解決方案所部署。
- 取得檔案
請連絡您的 TAM、SE 或 info@corelight.com 以取得 Microsoft Sentinel 整合所需的檔案。
- 重新執行範例數據。
重新執行範例數據,以在Log Analytics工作區中建立所需的數據表。
傳送範例數據(每個 Log Analytics 工作區只需要一次)
./send_samples.py --workspace-id {0} --workspace-key {1}
- 安裝自定義導出工具。
安裝自定義導出工具或logstash容器。
- 設定 Corelight 感測器以將記錄傳送至 Azure Log Analytics 代理程式。
使用下列值,將您的 Corelight 感測器設定為使用 Microsoft Sentinel 導出工具。 或者,您可以使用這些值來設定logstash容器,並將感測器設定為透過TCP將 JSON 傳送至適當埠上的該容器。
主要工作區金鑰
下一步
如需詳細資訊,請移至 Azure Marketplace 中的相關解決方案 。