適用於 Microsoft Sentinel 的趨勢 Micro Deep Security 連接器

  • 發行項

Trend Micro Deep Security 連接器可讓您輕鬆地將深度安全性記錄與 Microsoft Sentinel 連線,以檢視儀錶板、建立自定義警示,以及改善調查。 這可讓您深入瞭解組織的網路/系統,並改善安全性作業功能。

這是自動產生的內容。 如需變更,請連絡解決方案提供者。

連線 or 屬性

連線 or 屬性 描述
Kusto 函式 URL https://aka.ms/TrendMicroDeepSecurityFunction
Log Analytics 數據表(s) CommonSecurityLog (TrendMicroDeepSecurity)
數據收集規則支援 工作區轉換 DCR
支援者: Trend Micro

查詢範例

入侵預防事件


TrendMicroDeepSecurity

         
| where DeepSecurityModuleName == "Intrusion Prevention"
         
| sort by TimeGenerated

完整性監視事件


TrendMicroDeepSecurity

         
| where DeepSecurityModuleName == "Integrity Monitoring"
         
| sort by TimeGenerated

防火牆事件


TrendMicroDeepSecurity

         
| where DeepSecurityModuleName == "Firewall Events"
         
| sort by TimeGenerated

記錄檢查事件


TrendMicroDeepSecurity

         
| where DeepSecurityModuleName == "Log Inspection"
         
| sort by TimeGenerated

反惡意代碼事件


TrendMicroDeepSecurity

         
| where DeepSecurityModuleName == "Anti-Malware"
         
| sort by TimeGenerated

Web 信譽事件


TrendMicroDeepSecurity

         
| where DeepSecurityModuleName == "Web Reputation"
         
| sort by TimeGenerated

廠商安裝指示

  1. Linux Syslog 代理程式設定

安裝並設定 Linux 代理程式以收集您的一般事件格式 (CEF) Syslog 訊息,並將其轉送至 Microsoft Sentinel。

請注意,所有區域的資料皆會儲存在選取的工作區中

1.1 選取或建立 Linux 電腦

選取或建立 Microsoft Sentinel 將作為安全性解決方案與 Microsoft Sentinel 之間 Proxy 的 Linux 計算機,此計算機可以位於內部部署環境、Azure 或其他雲端上。

1.2 在 Linux 電腦上安裝 CEF 收集器

在Linux電腦上安裝 Microsoft Monitoring Agent,並將機器設定為在必要的埠上接聽,並將訊息轉寄至您的 Microsoft Sentinel 工作區。 CEF 收集器會收集埠 514 TCP 上的 CEF 訊息。

  1. 使用下列命令確定您的電腦上有 Python:python -version。
  1. 您在機器上必須具有更高的權限 (sudo)。

請執行下列命令安裝及套用 CEF 收集器:

sudo wget -O cef_installer.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/CEF/cef_installer.py&&sudo python cef_installer.py {0} {1}

  1. 將 Trend Micro Deep Security 記錄轉寄至 Syslog 代理程式

  2. 設定您的安全性解決方案,以 CEF 格式將 Syslog 訊息傳送至 Proxy 計算機。 請務必將記錄傳送至機器IP位址上的埠 514 TCP。

  3. 將 Trend Micro Deep Security 事件轉寄至 Syslog 代理程式。

  4. 藉由參考 此知識文章 以取得其他資訊,定義使用 CEF 格式的新 Syslog 組態。

  5. 設定 Deep Security Manager 以使用此新設定,使用這些 指示將事件轉送至 Syslog 代理程式。

  6. 請務必儲存 TrendMicroDeepSecurity 函式,以便正確查詢 Trend Micro Deep Security 數據。

  7. 驗證連線

請遵循指示來驗證您的連線能力:

開啟 Log Analytics 以檢查記錄是否使用 CommonSecurityLog 架構接收。

線上將數據串流至您的工作區可能需要大約 20 分鐘的時間。

如果未收到記錄,請執行下列連線驗證腳本:

  1. 使用下列命令確定您的電腦上有 Python:python -version
  1. 您必須在機器上擁有更高的權限 (sudo)

執行下列命令來驗證您的連線能力:

sudo wget -O cef_troubleshoot.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/CEF/cef_troubleshoot.py&&sudo python cef_troubleshoot.py {0}

  1. 保護您的機器

請務必根據組織的安全策略來設定計算機的安全性

深入了解>

下一步

如需詳細資訊,請移至 Azure Marketplace 中的相關解決方案