共用方式為


Microsoft Sentinel 的 Tenable Identity Exposure 連接器

Tenable Identity Exposure 連接器可讓曝光指標、攻擊指標和尾流記錄擷取至 Microsoft Sentinel。不同的工作書籍和數據剖析器可讓您更輕鬆地操作記錄並監視 Active Directory 環境。 分析範本可讓您自動化有關不同事件、曝光和攻擊的回應。

這是自動產生的內容。 如需變更,請連絡解決方案提供者。

連接器屬性

連接器屬性 描述
Kusto 函數別名 afad_parser
記錄分析資料表 Tenable_IE_CL
資料收集規則支援 目前不支援
支援者: 成立

查詢範例

取得每個 IoE 觸發的警示數目

afad_parser

| where MessageType == 0

| summarize AlertCount = count() by Codename

取得所有嚴重性優於閾值的IoE警示

let threshold = 2;
let SeverityTable=datatable(Severity:string,Level:int) [
"low", 1,
"medium", 2,
"high", 3,
"critical", 4
];
afad_parser

| where MessageType == 0

| lookup kind=leftouter SeverityTable on Severity

| where Level >= ['threshold']

取得過去 24 小時內的所有 IoE 警示

afad_parser 
| where MessageType == 0 and TimeGenerated > ago(1d)

取得過去 7 天的所有 IoE 警示

afad_parser 
| where MessageType == 0 and TimeGenerated > ago(7d)

取得過去 30 天的所有 IoE 警示

afad_parser 
| where MessageType == 0 and TimeGenerated > ago(30d)

取得過去 24 小時內的所有尾流變更

afad_parser 
| where MessageType == 1 and TimeGenerated > ago(1d)

取得過去 7 天的所有尾端流程變更

afad_parser 
| where MessageType == 1 and TimeGenerated > ago(7d)

取得每個 IoA 觸發的警示數目

afad_parser

| where MessageType == 2

| summarize AlertCount = count() by Codename

取得過去 30 天的所有 IoA 警示

afad_parser 
| where MessageType == 2 and TimeGenerated > ago(30d)

必要條件

若要與 Tenable 身分識別曝光整合,請確定您有:

  • TenableIE 設定的存取權:設定 syslog 警示引擎的許可權

廠商安裝指示

此數據連接器相依於 以 Kusto 函式為基礎的afad_parser ,以如預期般運作,其會與Microsoft Sentinel 解決方案一起部署。

  1. 設定 Syslog 伺服器

    您必須先需要 TenableIE 將傳送記錄的 Linux Syslog 伺服器。 一般而言,您可以在Ubuntu執行rsyslog。 然後,您可以視需要設定此伺服器,但建議您能夠在個別的檔案中輸出 TenableIE 記錄。

    設定 rsyslog 以接受來自 TenableIE IP 位址的記錄。:

    sudo -i
    
    # Set TenableIE source IP address
    export TENABLE_IE_IP={Enter your IP address}
    
    # Create rsyslog configuration file
    cat > /etc/rsyslog.d/80-tenable.conf << EOF
    \$ModLoad imudp
    \$UDPServerRun 514
    \$ModLoad imtcp
    \$InputTCPServerRun 514
    \$AllowedSender TCP, 127.0.0.1, $TENABLE_IE_IP
    \$AllowedSender UDP, 127.0.0.1, $TENABLE_IE_IP
    \$template MsgTemplate,"%TIMESTAMP:::date-rfc3339% %HOSTNAME% %programname%[%procid%]:%msg%\n"
    \$template remote-incoming-logs, "/var/log/%PROGRAMNAME%.log"
    *.* ?remote-incoming-logs;MsgTemplate
    EOF
    
    # Restart rsyslog
    systemctl restart rsyslog
    
  2. 安裝並上線適用於Linux的 Microsoft 代理程式

    OMS 代理程式會收到 TenableIE syslog 事件,並在 Sentinel Microsoft發佈它。

  3. 檢查 Syslog 伺服器上的代理程序記錄

    tail -f /var/opt/microsoft/omsagent/log/omsagent.log
    
  4. 設定 TenableIE 將記錄傳送至您的 Syslog 伺服器

    在您的 TenableIE 入口網站上,移至 [系統]、[設定] 和 [Syslog]。 您可以從該處,針對 Syslog 伺服器建立新的 Syslog 警示。

    完成此動作之後,請檢查記錄是否已正確收集到您伺服器上的個別檔案中(若要這樣做,您可以使用 TenableIE 中的 Syslog 警示設定中的 [測試組態 ] 按鈕。 如果您使用快速入門範本,則 Syslog 伺服器預設會接聽 UDP 中的埠 514 和 TCP 中的 1514,不含 TLS。

  5. 設定自訂記錄

設定代理程式以收集記錄。

  1. 在 Microsoft Sentinel 中,移至 [組態- 設定 ->> 工作區設定 -> 自定義記錄]。

  2. 按兩下 [ 新增自定義記錄]。

  3. 執行 Syslog 伺服器的 Linux 計算機上傳範例TenableIE.log Syslog 檔案,然後按 [下一步]

  4. 如果還沒有大小寫,請將記錄分隔符設定為 [新增行 ],然後按 [下一步]。

  5. 選取 [Linux],然後輸入 Syslog 檔案的檔案路徑,然後按兩下 + [下一步]。 檔案的預設位置是 /var/log/TenableIE.log 如果您有 Tenable 3.1.0 版 <,您也必須新增此 Linux 檔案位置 /var/log/AlsidForAD.log

  6. 將 [ 名稱 ] 設定為 Tenable_IE_CL (Azure 會自動在名稱結尾新增 _CL ,必須只有一個,請確定名稱未 Tenable_IE_CL_CL)。

  7. 按兩下 [下一步],您會看到繼續,然後按兩下 [ 建立]。

  8. 敬祝您使用愉快!

您現在應該能夠接收Tenable_IE_CL數據表中的記錄,記錄數據可以使用所有查詢範例、活頁簿和分析範本所使用的 afad_parser() 函式來剖析

下一步

如需詳細資訊,請移至 Azure Marketplace 中的相關解決方案 (英文)。