[已淘汰]透過連接器Microsoft Sentinel 的WithSecure Elements
重要
許多設備與裝置的記錄收集現在都透過下列項目支援:透過 AMA 的常見事件格式 (CEF)、透過 AMA 的 Syslog,或透過 Microsoft Sentinel 中 AMA 資料連接器的自訂記錄。 如需詳細資訊,請參閱尋找您的 Microsoft Sentinel 資料連接器。
WithSecure Elements 是統一的雲端式網路安全平臺。 透過連接器將WithSecure Elements 連線到 Microsoft Sentinel,即可透過 syslog 以通用事件格式 (CEF) 接收安全性事件。 它需要部署內部部署或雲端中的“Elements Connector”。 Common Event Format (CEF) 會針對每個數據記錄提供原生搜尋和相互關聯、警示和威脅情報擴充。
這是自動產生的內容。 如需變更,請連絡解決方案提供者。
連接器屬性
| 連接器屬性 | 描述 |
|---|---|
| 記錄分析資料表 | CommonSecurityLog (WithSecure 事件) |
| 資料收集規則支援 | 工作區轉換 DCR |
| 支援者: | WithSecure |
查詢範例
所有記錄
CommonSecurityLog
| where DeviceVendor == "WithSecure™"
| sort by TimeGenerated
廠商安裝指示
- Linux Syslog 代理程式設定
安裝並設定 Linux 代理程式,以收集常見事件格式 (CEF) 的 Syslog 訊息,然後將這些訊息轉送至 Microsoft Sentinel。
請注意,所有區域的資料皆會儲存在選取的工作區中
1.1 選取或建立 Linux 電腦
選取或建立Microsoft Sentinel 的 Linux 計算機,以作為WithSecurity解決方案與 Sentinel 之間的 Proxy。 機器可以是內部部署環境、Microsoft Azure 或其他雲端式環境。
Linux 必須已安裝
syslog-ng並python/python3安裝。
1.2 在 Linux 電腦上安裝 CEF 收集器
在 Linux 機器上安裝 Microsoft Monitoring Agent,並將該機器設定為在必要的連接埠上接聽訊息,然後將這些訊息轉送至 Microsoft Sentinel 工作區。 CEF 收集器會在連接埠 514 TCP 上收集 CEF 訊息。
- 請使用下列命令 python -version,確定機器上有 Python。
- 您在機器上必須具有更高的權限 (sudo)。
請執行下列命令安裝及套用 CEF 收集器:
sudo wget -O cef_installer.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/CEF/cef_installer.py&&sudo python cef_installer.py {0} {1}
針對 python3,請使用下列命令:
sudo wget -O cef_installer.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/CEF/cef_installer.py&&sudo python3 cef_installer.py {0} {1}
- 將數據從WithSecure Elements Connector 轉送至 Syslog 代理程式
這說明如何逐步安裝和設定 Elements Connector。
2.1 訂單連接器訂用帳戶
如果連接器訂用帳戶尚未排序,請移至 Elements 入口網站中的 EPP。 然後流覽至 [下載],然後在 [元素連接器] 區段中按兩下 [建立訂用帳戶密鑰] 按鈕。 您可以在訂用帳戶中檢查您的訂用帳戶金鑰。
2.2 下載連接器
移至 [下載],然後在 [WithSecure Elements Connector] 區段中選取正確的安裝程式。
2.3 建立管理 API 金鑰
在右上角的 EPP 中開啟帳戶設定時。 然後選取 [取得管理 API 金鑰]。 如果先前已建立金鑰,也可以在那裡讀取。
2.4 安裝連接器
若要安裝 Elements Connector,請遵循 Elements Connector Docs。
2.5 設定事件轉送
如果在安裝期間尚未設定 API 存取,請遵循 設定 Elements Connector 的 API 存取。 然後移至 EPP,然後移至 [配置檔],然後使用 [適用於連接器],您可以在其中查看連接器配置檔。 建立新的配置檔(或編輯現有的非只讀配置檔)。 在 [事件轉送] 中,啟用它。 SIEM 系統位址: 127.0.0.1:514。 將格式設定為 [一般事件格式]。 通訊協定為 TCP。 儲存配置檔,並將它指派給 [裝置] 索引標籤中的 [元素連接器]。
- 驗證連線
請遵循指示以驗證連線能力:
開啟 Log Analytics,檢查是否使用 CommonSecurityLog 結構描述接收記錄。
連線將資料串流至工作區可能需要大約 20 分鐘的時間。
如果未收到記錄,請執行下列連線能力驗證指令碼:
- 請使用下列命令 python -version,確定您的機器上有 Python
- 您的機器上必須具有更高的權限 (sudo)
請執行下列命令驗證連線能力:
sudo wget -O cef_troubleshoot.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/CEF/cef_troubleshoot.py&&sudo python cef_troubleshoot.py {0}
針對 python3,請使用下列命令:
sudo wget -O cef_troubleshoot.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/CEF/cef_troubleshoot.py&&sudo python3 cef_troubleshoot.py {0}
- 保護您的機器
請務必根據組織的安全性原則設定機器的安全性
下一步
如需詳細資訊,請移至 Azure Marketplace 中的相關解決方案 (英文)。