透過 Microsoft Sentinel 連接器的 WithSecure Elements
WithSecure Elements 是統一的雲端式網路安全平臺。 透過 連線 or 連線到 Microsoft Sentinel 的 WithSecure Elements,即可透過 syslog 以通用事件格式 (CEF) 接收安全性事件。 它需要部署內部部署或雲端中的「元素 連線 or」。 Common Event Format (CEF) 會針對每個數據記錄提供原生搜尋和相互關聯、警示和威脅情報擴充。
這是自動產生的內容。 如需變更,請連絡解決方案提供者。
連線 or 屬性
| 連線 or 屬性 | 描述 |
|---|---|
| Log Analytics 數據表(s) | CommonSecurityLog (WithSecure 事件) |
| 數據收集規則支援 | 工作區轉換 DCR |
| 支援者: | WithSecure |
查詢範例
所有記錄
CommonSecurityLog
| where DeviceVendor == "WithSecure™"
| sort by TimeGenerated
廠商安裝指示
- Linux Syslog 代理程式設定
安裝並設定 Linux 代理程式以收集您的一般事件格式 (CEF) Syslog 訊息,並將其轉送至 Microsoft Sentinel。
請注意,所有區域的資料皆會儲存在選取的工作區中
1.1 選取或建立 Linux 電腦
選取或建立 Microsoft Sentinel 將用來作為 WithSecurity 解決方案與 Sentinel 之間 Proxy 的 Linux 計算機。 機器可以是內部部署環境、Microsoft Azure 或其他雲端式。
Linux 必須已安裝
syslog-ng並python/python3安裝。
1.2 在 Linux 電腦上安裝 CEF 收集器
在Linux電腦上安裝 Microsoft Monitoring Agent,並將機器設定為在必要的埠上接聽,並將訊息轉寄至您的 Microsoft Sentinel 工作區。 CEF 收集器會收集埠 514 TCP 上的 CEF 訊息。
- 使用下列命令確定您的電腦上有 Python:python -version。
- 您在機器上必須具有更高的權限 (sudo)。
請執行下列命令安裝及套用 CEF 收集器:
sudo wget -O cef_installer.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/CEF/cef_installer.py&&sudo python cef_installer.py {0} {1}
針對 python3,請使用下列命令:
sudo wget -O cef_installer.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/CEF/cef_installer.py&&sudo python3 cef_installer.py {0} {1}
- 將數據從WithSecure Elements 連線 or 轉送至 Syslog 代理程式
這說明如何逐步安裝和設定 Elements 連線 or。
2.1 訂單 連線 or 訂用帳戶
如果 連線 或訂用帳戶尚未排序,請移至 Elements 入口網站中的 EPP。 然後流覽至 [下載],然後在 [專案 連線 or] 區段中按兩下 [建立訂用帳戶密鑰] 按鈕。 您可以在訂用帳戶中檢查您的訂用帳戶金鑰。
2.2 下載 連線 or
移至 [下載],然後在 [WithSecure Elements 連線 or] 區段中選取正確的安裝程式。
2.3 建立管理 API 金鑰
在右上角的 EPP 中開啟帳戶設定時。 然後選取 [取得管理 API 金鑰]。 如果先前已建立金鑰,也可以在那裡讀取。
2.4 安裝 連線 or
若要安裝 Elements 連線 or,請遵循 Elements 連線 or Docs。
2.5 設定事件轉送
如果在安裝期間尚未設定 API 存取,請遵循設定 Elements 連線 or 的 API 存取。 然後移至 EPP,然後移至 [配置檔],然後使用 [適用於 連線 或從中查看連接器配置檔。 建立新的配置檔(或編輯現有的非只讀配置檔)。 在 [事件轉送] 中,啟用它。 SIEM 系統位址: 127.0.0.1:514。 將格式設定為 [一般事件格式]。 通訊協定為 TCP。 儲存配置檔,並將它指派給 [裝置] 索引標籤中的 [元素 連線 or]。
- 驗證連線
請遵循指示來驗證您的連線能力:
開啟 Log Analytics 以檢查記錄是否使用 CommonSecurityLog 架構接收。
線上將數據串流至您的工作區可能需要大約 20 分鐘的時間。
如果未收到記錄,請執行下列連線驗證腳本:
- 使用下列命令確定您的電腦上有 Python:python -version
- 您必須在機器上擁有更高的權限 (sudo)
執行下列命令來驗證您的連線能力:
sudo wget -O cef_troubleshoot.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/CEF/cef_troubleshoot.py&&sudo python cef_troubleshoot.py {0}
針對 python3,請使用下列命令:
sudo wget -O cef_troubleshoot.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/CEF/cef_troubleshoot.py&&sudo python3 cef_troubleshoot.py {0}
- 保護您的機器
請務必根據組織的安全策略來設定計算機的安全性
下一步
如需詳細資訊,請移至 Azure Marketplace 中的相關解決方案 。