Vyhledání datového konektoru služby Microsoft Sentinel

Tento článek popisuje, jak nasadit datové konektory ve službě Microsoft Sentinel a zobrazit seznam všech podporovaných, dostupných datových konektorů, odkazy na obecné postupy nasazení a další kroky vyžadované pro konkrétní konektory.

Jak používat tohoto průvodce

1. Nejprve v nabídce nadpisů napravo vyhledejte a vyberte konektor pro váš produkt, službu nebo zařízení.

   První informací, kterou u každého konektoru uvidíte, je metoda příjmu dat. Metoda, která se zobrazí, bude obsahovat odkaz na jeden z následujících obecných postupů nasazení, který obsahuje většinu informací, které budete potřebovat pro připojení zdrojů dat k Microsoft Sentinelu:

   Metoda příjmu dat	Odkazovaný článek s pokyny
   Integrace služeb Azure se službami	Připojení služeb Azure, Windows, Microsoft a Amazon
   Common Event Format (CEF) přes Syslog	Získání protokolů ve formátu CEF ze zařízení nebo zařízení do služby Microsoft Sentinel
   Rozhraní API kolekce dat Microsoft Sentinelu	Připojení zdroje dat do rozhraní API kolekce dat Služby Microsoft Sentinel za použití ingestování dat
   Azure Functions a REST API	Pomocí Azure Functions připojte Microsoft Sentinel ke zdroji dat.
   Syslog	Shromažďování dat ze zdrojů založených na Linuxu pomocí Syslogu
   Vlastní protokoly	Shromažďování dat ve vlastních formátech protokolů do Microsoft Sentinelu pomocí agenta Log Analytics

   Poznámka

   Metoda integrace dat mezi službami Azure odkazuje na tři různé části článku v závislosti na typu konektoru. Oddíl každého konektoru níže určuje oddíl v tomto článku, na který odkazuje.

2. Při nasazování konkrétního konektoru zvolte odpovídající článek propojený s jeho metodou příjmu dat a pomocí informací a dalších pokynů v příslušné části níže doplňte informace v tomto článku.

Agari Phishing Defense and Brand Protection (Preview)

Povolení rozhraní API Graph zabezpečení (volitelné)

Aplikace funkcí Agari umožňuje sdílet informace o hrozbě se službou Microsoft Sentinel prostřednictvím rozhraní Security Graph API. Pokud chcete tuto funkci používat, musíte povolit konektor platformy Sentinel Threat Intelligence Platforms a také zaregistrovat aplikaci v Azure Active Directory.

Tento proces vám poskytne tři informace, které můžete použít při nasazování aplikace funkcí: ID tenanta Graph, ID klienta Graph a tajný kód klienta Graph (viz nastavení aplikace v tabulce výše).

Přiřazení potřebných oprávnění k aplikaci funkcí

Konektor Agari používá k ukládání časových razítek přístupu k protokolům proměnnou prostředí. Aby aplikace do této proměnné zapis měla oprávnění, musí být přiřazena identitě přiřazené systémem.

1. V Azure Portal přejděte na Function App.
2. Na stránce Function App vyberte ze seznamu svou aplikaci funkcí a pak v navigační nabídce aplikace funkcí v části Nastavení identitu.
3. Na kartě Přiřazený systémem nastavte Stav na Hodnotu On.
4. Vyberte Uložit a zobrazí se tlačítko Přiřazení rolí Azure. Vyberte ji.
5. Na obrazovce Přiřazení rolí Azure vyberte Přidat přiřazení role. Nastavte Rozsah na Předplatné, v rozevíracím seznamu Předplatné vyberte své předplatné a role nastavte App Configuration vlastník dat.
6. Vyberte Uložit.

AI Analyst (AIA) by Darktrace (Preview)

Konfigurace předávání protokolů CEF pro analytika AI

Nakonfigurujte Darktrace tak, aby přes agenta Log Analytics předal zprávy Syslogu ve formátu CEF do vašeho pracovního prostoru Azure.

1. Ve vizualizéru Darktrace Threat Visualizer přejděte na stránku Konfigurace systému v hlavní nabídce v části Správce.
2. V nabídce vlevo vyberte Moduly a z dostupných integrací pracovních postupů zvolte Microsoft Sentinel.
3. Otevře se konfigurační okno. Vyhledejte cef (CEF) syslogu Microsoft Sentinel a výběrem možnosti New (Nový) zobrazíte nastavení konfigurace, pokud ještě není zveřejněné.
4. Do pole Konfigurace serveru zadejte umístění služby předávání protokolů a volitelně upravte komunikační port. Ujistěte se, že je vybraný port nastavený na hodnotu 514 a že je povolený pro všechny zprostředkující brány firewall.
5. Podle potřeby nakonfigurujte prahové hodnoty upozornění, časové posuny nebo další nastavení.
6. Zkontrolujte všechny další možnosti konfigurace, které můžete chtít povolit a které mění syntaxi syslogu.
7. Povolte možnost Odesílat výstrahy a uložte provedené změny.

Detekce AI Vectra (Preview)

Konfigurace předávání protokolů CEF pro AI Vectra Detect

Nakonfigurujte agenta Vectra (řada X) tak, aby předal zprávy Syslogu ve formátu CEF do pracovního prostoru Microsoft Sentinelu prostřednictvím agenta Log Analytics.

V rozhraní Vectra přejděte na Nastavení > Oznámení a zvolte Upravit konfiguraci Syslogu. Podle následujících pokynů nastavte připojení:

• Přidání nového cíle (název hostitele služby předávání protokolů)
• Nastavte Port na 514.
• Nastavte Protokol na UDP.
• Nastavte formát na CEF.
• Nastavení typů protokolů (výběr všech dostupných typů protokolů)
• Vyberte Uložit.

Výběrem tlačítka Test můžete vynutit odesílání některých testovacích událostí do služby předávání protokolů.

Další informace najdete v příručce Cognito Detect Syslog, kterou si můžete stáhnout ze stránky prostředků v uživatelském rozhraní Detect.

Události zabezpečení Akamai (Preview)

Alcide kAudit

Alsid pro Active Directory

Další konfigurace pro Alsid

1. Konfigurace serveru Syslog

   Nejprve budete potřebovat linuxový server Syslog, na který Alsid pro AD bude odesílat protokoly. Rsyslog obvykle můžete spustit na Ubuntu.

   Tento server pak můžete podle svého nastavení nakonfigurovat, ale doporučujeme, abyste mohli výstupovat protokoly AFAD v samostatném souboru. Alternativně můžete k nasazení serveru Syslog a agenta Microsoftu použít šablonu pro rychlý start. Pokud šablonu použijete, můžete přeskočit pokyny k instalaci agenta.

2. Konfigurace Alsid pro odesílání protokolů na server Syslog

   Na portálu Alsid pro AD přejděte na System (Systém), Configuration (Konfigurace) a pak na Syslog. Odtud můžete vytvořit nové upozornění Syslogu na server Syslog.

   Po vytvoření nového upozornění Syslogu zkontrolujte, že se protokoly správně shromažďují na vašem serveru v samostatném souboru. Pokud chcete například zkontrolovat protokoly, můžete použít tlačítko Testovat konfiguraci v konfiguraci výstrah Syslogu v AFAD. Pokud jste použili šablonu pro rychlý start, server Syslog bude ve výchozím nastavení naslouchat na portu 514 v protokolech UDP a 1514 v protokolu TCP bez protokolu TLS.

Amazon Web Services

Amazon Web Services S3 (Preview)

Apache HTTP Server

Apache Tomcat

Aruba ClearPass (Preview)

Atlassian Confluence Audit (Preview)

Atlassian Jira Audit (Preview)

Azure Active Directory

Azure Active Directory Identity Protection

Aktivita Azure

Upgrade na nový konektor aktivit Azure

Změny datové struktury

Tento konektor nedávno změnil mechanismus back-endu pro shromažďování událostí protokolu aktivit. Teď používá kanál nastavení diagnostiky. Pokud pro tento konektor stále používáte starší metodu, důrazně doporučujeme upgradovat na novou verzi, která poskytuje lepší funkce a větší konzistenci s protokoly prostředků. Přečtěte si následující pokyny.

Metoda nastavení diagnostiky odesílá stejná data jako starší metoda odeslaná ze služby protokolu aktivit, i když došlo k nějakým změnám struktury tabulky AzureActivity.

Tady je několik klíčových vylepšení vyplývajících z přechodu na kanál nastavení diagnostiky:

• Vylepšená latence příjmu dat (příjem událostí během 2–3 minut od výskytu místo 15–20 minut)
• Vyšší spolehlivost.
• Vyšší výkon
• Podpora všech kategorií událostí protokolovaných službou protokolu aktivit (starší mechanismus podporuje pouze podmnožinu – například nepodporuje žádné Service Health události).
• Správa ve velkém měřítku s Azure Policy.

Podrobnější Azure Monitor protokolu aktivit Azure a kanálu nastavení diagnostiky najdete v dokumentaci k kanálu nastavení diagnostiky.

Odpojení od starého kanálu

Před nastavením nového konektoru protokolu aktivit Azure musíte stávající předplatná odpojit od starší metody.

1. V navigační nabídce Microsoft Sentinelu vyberte Datové konektory. V seznamu konektorů vyberte Aktivita Azure a pak vyberte tlačítko Otevřít stránku konektoru v pravém dolním rohu.

2. Na kartě Pokyny v části Konfigurace v kroku 1 zkontrolujte seznam stávajících předplatných, která jsou připojená ke starší metodě (abyste věděli, která z nich chcete přidat do nové), a odpojte je všechny najednou kliknutím na tlačítko Odpojit vše níže.

3. Pokračujte v nastavování nového konektoru s pokyny uvedenými v tabulce výše.

Azure DDoS Protection

Microsoft Defender for Cloud

Microsoft Defender for IoT

Brána Azure Firewall

Azure Information Protection

Další informace najdete v Azure Information Protection .

Azure Key Vault

Azure Kubernetes Service (AKS)

Azure SQL Databases

Účet služby Azure Storage

Poznámky ke konfiguraci nastavení diagnostiky účtu úložiště

Prostředek účtu úložiště (nadřazený) obsahuje další (podřízené) prostředky pro každý typ úložiště: soubory, tabulky, fronty a objekty blob.

Při konfiguraci diagnostiky pro účet úložiště musíte vybrat a nakonfigurovat:

• Prostředek nadřazeného účtu exportujete transakční metriku.
• Každý z podřízených prostředků typu úložiště, které exportují všechny protokoly a metriky (viz tabulka výše).

Zobrazí se jenom typy úložišť, pro které máte definované prostředky.

Firewall webových aplikací Azure (WAF)

Barracuda CloudGen Firewall

Barracuda WAF

LEPŠÍ ochrany před mobilními hrozbami (MTD) (Preview)

Beyond Security beSECURE

BlackBerry CylancePROTECT (Preview)

Prevence ochrany před únikem informací Symantec (DLP) (Preview)

Check Point

Cisco ASA

Cisco Firepower eStreamer (Preview)

Další konfigurace pro Cisco Firepower eStreamer

1. Instalace klienta Firepower eNcore
   Nainstalujte a nakonfigurujte klienta Firepower eNcore eStreamer. Další informace najdete v úplném instalačním průvodci Cisco.

2. Stáhněte si Firepower Connector z GitHub
   Stáhněte si nejnovější verzi konektoru Firepower eNcore pro Microsoft Sentinel z úložiště Cisco GitHub . Pokud plánujete používat python3, použijte konektor eStreamer python3.

3. Vytvoření souboru pkcs12 pomocí IP adresy virtuálního počítače Azure nebo Azure
   V části Firepower v části System > Integration > eStreamer vytvořte certifikát pkcs12 pomocí veřejné IP adresy instance virtuálního počítače. Další informace najdete v instalační příručce.

4. Test připojení mezi klientem Azure/VM Client a FMC
   Zkopírujte soubor pkcs12 z FMC do instance Azure nebo virtuálního počítače a spusťte testovací nástroj (./encore.sh test), abyste zajistili navázáno připojení. Další informace najdete v průvodci nastavením.

5. Konfigurace eNcore pro streamování dat do agenta
   Nakonfigurujte eNcore pro streamování dat prostřednictvím protokolu TCP do agenta Log Analytics. Tato konfigurace by měla být ve výchozím nastavení povolená, ale další porty a streamovací protokoly je možné nakonfigurovat v závislosti na stavu zabezpečení sítě. Data je také možné uložit do systému souborů. Další informace najdete v tématu Konfigurace eNcore.

Cisco Meraki (Preview)

Cisco Umbrella (Preview)

Cisco Unified Computing System (UCS) (Preview)

Citrix Analytics (Security)

Citrix Web App Firewall (WAF) (Preview)

Cognni (Preview)

Průběžné monitorování hrozeb pro SAP (Preview)

Události cyberark Enterprise password vaultu (EPV) (Preview)

Protokoly zabezpečení Cyber jejich zabezpečení (Preview)

DNS (Preview)

Viz Windows SERVER DNS (Preview).

Dynamics 365

ESET Enterprise Inspector (Preview)

Vytvoření uživatele rozhraní API

1. Přihlaste se ke službě ESET Security Management Center/ESET PROTECT Console s účtem správce, vyberte kartu Další a Uživatelé subtab.
2. Vyberte tlačítko Přidat nové a přidejte nativního uživatele.
3. Vytvořte nového uživatele pro účet rozhraní API. Volitelné: Vyberte jinou domovskou skupinu , která bude omezovat, jaké detekce jsou přijímány.
4. na kartě sady oprávnění přiřaďte sadu oprávnění kontrolora Enterprise Inspector .
5. Odhlaste se z účtu správce a přihlaste se ke konzole pomocí nového pověření rozhraní API pro ověření a pak se odhlaste z účtu rozhraní API.

Centrum správy zabezpečení ESET (SMC) (Preview)

Konfigurace shromažďovaných protokolů SMC ve službě ESET

Nakonfigurujte rsyslog tak, aby přijímal protokoly z IP adresy ESET.

    sudo -i
    # Set ESET SMC source IP address
    export ESETIP={Enter your IP address}

    # Create rsyslog configuration file
    cat > /etc/rsyslog.d/80-remote.conf << EOF
    \$ModLoad imudp
    \$UDPServerRun 514
    \$ModLoad imtcp
    \$InputTCPServerRun 514
    \$AllowedSender TCP, 127.0.0.1, $ESETIP
    \$AllowedSender UDP, 127.0.0.1, $ESETIP user.=alert;user.=crit;user.=debug;user.=emerg;user.=err;user.=info;user.=notice;user.=warning  @127.0.0.1:25224
    EOF

    # Restart rsyslog
    systemctl restart rsyslog

Konfigurace agenta OMS k předání dat ESET SMC ve formátu rozhraní API

Aby bylo možné snadno rozpoznat data aplikace ESET, nahrajte je do samostatné tabulky a analyzujte je na agentovi, abyste zjednodušili a urychlili dotaz Microsoft Sentinel.

V souboru /etc/opt/Microsoft/omsagent/{REPLACEyourworkspaceid}/conf/omsagent.conf upravte match oms.** oddíl tak, aby odesílal data jako objekty rozhraní API, změnou typu na out_oms_api .

Následující kód je příkladem úplné match oms.** části:

    <match oms.** docker.**>
      type out_oms_api
      log_level info
      num_threads 5
      run_in_background false

      omsadmin_conf_path /etc/opt/microsoft/omsagent/{REPLACEyourworkspaceid}/conf/omsadmin.conf
      cert_path /etc/opt/microsoft/omsagent/{REPLACEyourworkspaceid}/certs/oms.crt
      key_path /etc/opt/microsoft/omsagent/{REPLACEyourworkspaceid}/certs/oms.key

      buffer_chunk_limit 15m
      buffer_type file
      buffer_path /var/opt/microsoft/omsagent/{REPLACEyourworkspaceid}/state/out_oms_common*.buffer

      buffer_queue_limit 10
      buffer_queue_full_action drop_oldest_chunk
      flush_interval 20s
      retry_limit 10
      retry_wait 30s
      max_retry_wait 9m
    </match>

Změna konfigurace agenta OMS pro zachycení značky OMS. API. ESET a analýza strukturovaných dat

Upravte soubor /etc/opt/Microsoft/omsagent/{REPLACEyourworkspaceid}/conf/omsagent.d/syslog.conf .

Například:

    <source>
      type syslog
      port 25224
      bind 127.0.0.1
      protocol_type udp
      tag oms.api.eset
    </source>

    <filter oms.api.**>
      @type parser
      key_name message
      format /(?<message>.*?{.*})/
    </filter>

    <filter oms.api.**>
      @type parser
      key_name message
      format json
    </filter>

Zakázat automatickou konfiguraci a restartovat agenta

Například:

    # Disable changes to configuration files from Portal
    sudo su omsagent -c 'python /opt/microsoft/omsconfig/Scripts/OMS_MetaConfigHelper.py --disable'

    # Restart agent
    sudo /opt/microsoft/omsagent/bin/service_control restart

    # Check agent logs
    tail -f /var/opt/microsoft/omsagent/log/omsagent.log

Konfigurace společnosti ESET SMC pro odesílání protokolů do konektoru

Nakonfigurujte protokoly ESET pomocí stylu BSD a formátu JSON.

• Přejít na konfiguraci serveru syslog konfigurovat hostitele (váš konektor), formátovat BSD a transportní TCP
• Přejít do části protokolování a povolit JSON

Další informace najdete v dokumentaci k nástroji ESET.

Exabeam Advanced Analytics (Preview)

ExtraHop Reveal(x)

F5 BIG-IP

Sítě F5 (ASM)

Forcepoint Cloud Access Security broker (CASB) (Preview)

Forcepoint Cloud Security Gateway (CSG) (Preview)

Ochrana před únikem informací Forcepoint (DLP) (Preview)

Firewall nové generace Forcepoint (NGFW) (Preview)

ForgeRock Common audit (CAUD) pro CEF (Preview)

Fortinet

Posílání protokolů Fortinet do předávacího protokolu

Otevřete rozhraní příkazového řádku na zařízení Fortinet a spusťte následující příkazy:

config log syslogd setting
set status enable
set format cef
set port 514
set server <ip_address_of_Forwarder>
end

• Nahraďte IP adresu serveru IP adresou předaného protokolu.
• Nastavte port SYSLOG na 514 nebo port nastavený na procesu démona syslog na serveru pro překládání.
• Pokud chcete povolit formát CEF ve verzích rané FortiOS, možná budete muset spustit sadu příkazů CSV Disable.

Pracovní prostor Google (G-Suite) (Preview)

Dodatečná konfigurace rozhraní API pro sestavy Google

http://localhost:8081/Při vytváření přihlašovacích údajů webové aplikacepřidejte v části autorizované identifikátory URI pro přesměrování .

1. Použijte pokyny k získání přihlašovacích údajů. JSON.
2. Pokud chcete získat řetězec v rozevíracím seznamu Google, spusťte Tento skript Pythonu (ve stejné cestě jako přihlašovací údaje. JSON).
3. Zkopírujte výstup řetězce rozevíracího seznamu v jednoduchých uvozovkách a uložte. Bude potřeba k nasazení Function App.

Systém pro správu útoků Illusive (AMS) (Preview)

Imperva WAF Gateway (Preview)

Operační systém Infoblox Network identity (NIOS) (Preview)

Juniper SRX (Preview)

Prohlédněte si ochranu před mobilními hrozbami (Preview)

Microsoft 365 Defender

Microsoft 365 správa rizik Insider (IRM) (preview)

Microsoft Defender for Cloud Apps

Microsoft Defender for Endpoint

Microsoft Defender for Identity

Microsoft Defender for Office 365

Microsoft Office 365

Morphisec UTPP (Preview)

Netskope (Preview)

Server HTTP NGINX (Preview)

Základní modul zabezpečení NXLog (BSM) macOS (Preview)

Protokoly DNS NXLogu (Preview)

NXLog LinuxAudit (Preview)

Okta Single Sign-On (Preview)

Platforma Onapsis (Preview)

Konfigurace Onapsis pro odesílání protokolů CEF do protokolu pro přeposílání protokolů

Informace o přesměrování protokolu na agenta Log Analytics najdete v nápovědě k produktu Onapsis.

1. Přejděte na nastavení > integrace třetích stran > chránit alarmy a postupujte podle pokynů pro Microsoft Sentinel.
2. Ujistěte se, že vaše konzola Onapsis může získat přístup k počítači se systémem pro přeposílání protokolů, kde je nainstalovaný agent. Protokoly by se měly odesílat do portu 514 pomocí protokolu TCP.

Ochrana s jednou identitou (Preview)

Oracle WebLogic Server (Preview)

Zabezpečení Orca (Preview)

OSSEC (Preview)

Palo Alto Networks

Protokoly aktivit Perimeter 81 (Preview)

Zabezpečení e-mailu proofpoint on demand (POD) (Preview)

Ochrana proti útokům cíleným na proofpoint (TAP) (Preview)

Pulse Připojení Secure (Preview)

Qualys VM KnowledgeBase (KB) (Preview)

Dodatečná konfigurace pro virtuální počítač Qualys KB

1. Přihlaste se k konzole pro správu ohrožení zabezpečení Qualys pomocí účtu správce, vyberte kartu Uživatelé a Uživatelé subtab.
2. Vyberte novou rozevírací nabídku a vyberte Uživatelé.
3. Vytvořte uživatelské jméno a heslo pro účet rozhraní API.
4. Na kartě role uživatele zajistěte, aby byla role účtu nastavená na hodnotu správce a aby přístup k GUI a rozhraní API bylo povolené.
5. Odhlaste se z účtu správce a přihlaste se ke konzole pomocí nového pověření rozhraní API pro ověření a odhlaste se od účtu rozhraní API.
6. Přihlaste se zpátky ke konzole pomocí účtu správce a změňte uživatelské role účtů rozhraní API a odeberte přístup k uživatelskému rozhraní.
7. Uložte všechny změny.

Správa ohrožení zabezpečení Qualys (VM) (verze Preview)

Dodatečná konfigurace pro virtuální počítač Qualys

1. Přihlaste se k konzole pro správu ohrožení zabezpečení Qualys pomocí účtu správce, vyberte kartu Uživatelé a Uživatelé subtab.
2. Vyberte novou rozevírací nabídku a vyberte Uživatelé.
3. Vytvořte uživatelské jméno a heslo pro účet rozhraní API.
4. Na kartě role uživatele zajistěte, aby byla role účtu nastavená na hodnotu správce a aby přístup k GUI a rozhraní API bylo povolené.
5. Odhlaste se z účtu správce a přihlaste se ke konzole pomocí nového pověření rozhraní API pro ověření a pak se odhlaste z účtu rozhraní API.
6. Přihlaste se zpátky ke konzole pomocí účtu správce a změňte uživatelské role účtů rozhraní API a odeberte přístup k uživatelskému rozhraní.
7. Uložte všechny změny.

Ruční nasazení – po konfiguraci Function App

Konfigurace souboru Host. JSON

Vzhledem k tomu, že může dojít k ingestování potenciálně velkého množství dat detekce hostitele Qualys, může čas spuštění překračovat výchozí časový limit Function App pět minut. Zvyšte výchozí dobu trvání časového limitu na maximálně 10 minut v rámci plánu spotřeby, aby bylo možné Function App spustit více času.

1. V Function App vyberte název Function App a vyberte Editor služby App Service stránku.
2. Výběrem možnosti Přejít otevřete Editor a potom v adresáři wwwroot vyberte soubor Host. JSON .
3. Přidá řádek "functionTimeout": "00:10:00", nad managedDependancy řádek.
4. Zajistěte, aby se v pravém horním rohu editoru zobrazovaly uložené , a pak Editor ukončete.

Pokud se vyžaduje delší časový limit, zvažte upgrade na plán App Service.

Cloud služby Salesforce (Preview)

Události zabezpečení prostřednictvím starší verze agenta (Windows)

Další informace najdete v tématu Nastavení sešitu nezabezpečené protokoly.

viz také: Zabezpečení Windows události prostřednictvím konektoru AMA založeného na agentu Azure Monitor (AMA).

nakonfigurujte konektor události zabezpečení/Zabezpečení Windows události pro detekci přihlášení neobvyklé RDP.

SentinelOne (Preview)

Dodatečná konfigurace pro SentinelOne

Použijte pokyny k získání přihlašovacích údajů.

1. Přihlaste se ke konzole pro správu SentinelOne s přihlašovacími údaji uživatele správce.
2. v konzole pro správu vyberte možnost Nastavení.
3. V zobrazení Nastavení vyberte Uživatelé .
4. Vyberte Nový uživatel.
5. Zadejte informace pro nového uživatele konzoly.
6. V roli vyberte správce.
7. Vybrat Uložit
8. Uloží přihlašovací údaje nového uživatele pro použití v datovém konektoru.

Firewall SonicWall (Preview)

Sophos Cloud Optix (Preview)

Sophos XG firewall (Preview)

Squadra Technologies secRMM

Proxy squid (Preview)

Symantec Integrated Cyber Defense Exchange (ICDx)

Symantec ProxySG (Preview)

Symantec VIP (Preview)

Server pro tajné klíče (Preview)

Trend Micro Deep Security

Trend Micro TippingPoint (Preview)

Trend Micro Vision One (XDR) (Preview)

VMware – černý koncový bod Standard (Preview)

VMware ESXi (Preview)

WatchGuard Firebox (Preview)

WireX Network forenzní Platform (Preview)

Server DNS Windows (Preview)

Windows předáných událostí (Preview)

Další pokyny pro nasazení konektoru Windows událostí

Doporučujeme nainstalovat analyzátory ASIM (Advanced SIEM Information Model), abyste zajistili plnou podporu normalizace dat. Tyto analyzátory můžete nasadit z úložiště Azure-Sentinel GitHub pomocí tlačítka Deploy to Azure (Nasadit do Azure).

Brána Windows Firewall

Zabezpečení Windows událostí přes AMA

Viz také: Události zabezpečení prostřednictvím starší verze konektoru agenta.

Konfigurace konektoru Události zabezpečení / Zabezpečení Windows událostí pro detekci neobvyklého přihlášení RDP

Microsoft Sentinel může použít strojové učení (ML) na data událostí zabezpečení a identifikovat neobvyklé přihlašovací protokol RDP (Remote Desktop Protocol) (RDP). Mezi scénáře patří:

• Neobvyklá IP adresa – IP adresa se během posledních 30 dnů zřídka nebo nikdy nezpozoruje

• Neobvyklé geografické umístění – IP adresa, město, země a ASN se během posledních 30 dnů zřídka nebo nikdy nezjistili.

• Nový uživatel – nový uživatel se přihlásí z IP adresy a geografické polohy, u obou nebo se neočekává, že se budou na základě dat za posledních 30 dnů zobrazit.

Pokyny ke konfiguraci

1. Data přihlášení protokolu RDP (ID události 4624) je nutné shromažďovat prostřednictvím událostí zabezpečení nebo Zabezpečení Windows datových konektorů Událostí. Ujistěte se, že jste pro streamování do Microsoft Sentinelu vybrali sadu událostí kromě Žádné nebo vytvořili pravidlo shromažďování dat, které obsahuje toto ID události.

2. Na portálu Microsoft Sentinel vyberte Analýza a pak vyberte kartu Šablony pravidel. Zvolte (Preview) Neobvyklé pravidlo Detekce přihlášení RDP a přesuňte posuvník Stav na Povoleno.

   Poznámka

   Vzhledem k tomu, že algoritmus strojového učení k vytvoření základního profilu chování uživatelů vyžaduje data za posledních 30 dnů, musíte před zjištěním incidentů povolit shromažďování dat o událostech Zabezpečení Windows za 30 dnů.

Workplace from Facebook (Preview)

Konfigurace webhooků

1. Přihlaste se k pracovišti pomocí přihlašovacích údajů správce.
2. Na panelu Správce vyberte Integrace.
3. V zobrazení Všechny integrace vyberte Vytvořit vlastní integraci.
4. Zadejte název a popis a vyberte Vytvořit.
5. Na panelu Podrobnosti integrace zobrazte tajný kód aplikace a zkopírujte ho.
6. Na panelu Oprávnění integrace nastavte všechna oprávnění ke čtení. Podrobnosti najdete na stránce oprávnění.

Přidání adresy URL zpětného volání do konfigurace webhooku

1. Otevřete stránku vaší aplikace funkcí, přejděte do seznamu Funkcí, vyberte Získat adresu URL funkce a zkopírujte ji.
2. Zpět z Facebooku na pracoviště. Na panelu Konfigurovat webhooky na každé kartě nastavte adresu URL zpětného volání jako adresu URL funkce, kterou jste zkopírovali v posledním kroku, a token Verify jako stejnou hodnotu, kterou jste obdrželi během automatického nasazení nebo zadali během ručního nasazení.
3. Vyberte Uložit.

Zimperium Mobile Thread Defense (Preview)

Datový konektor ochrany před mobilními hrozbami Zimperium připojuje protokol hrozeb Zimperium k programu Microsoft Sentinel pro zobrazení řídicích panelů, vytváření vlastních výstrah a vylepšení šetření. Tento konektor vám poskytne přehled o mobilních hrozbách vaší organizace a zlepšuje možnosti vaší operace zabezpečení.

další informace najdete v tématu Připojení Zimperium na Microsoft Sentinel.

Konfigurace a připojení Zimperium MTD

1. V zConsole na navigačním panelu vyberte Spravovat .
2. Vyberte kartu integrace .
3. Vyberte tlačítko vytváření sestav hrozeb a pak klikněte na tlačítko Přidat Integration .
4. Vytvořte integraci:
   1. Z dostupných integrací vyberte Microsoft Sentinel.
   2. Zadejte ID pracovního prostoru a primární klíč, vyberte Další.
   3. Zadejte název pro integraci ověřovacích dat Microsoft.
   4. Vyberte úroveň filtru pro data hrozby, která chcete odeslat do programu Microsoft Sentinel.
   5. Vyberte Dokončit.

Sestavy lupy (Preview)

Zscaler

Zscaler Private Access (ZPA) (Preview)

Dodatečná konfigurace pro privátní přístup Zscaler

Postupujte podle následujících kroků konfigurace a získejte protokoly privátního přístupu Zscaler do programu Microsoft Sentinel. Další informace najdete v dokumentaci k Azure monitor. Protokoly privátního přístupu Zscaler se doručují prostřednictvím služby LSS (log Streaming Service). Podrobné informace najdete v dokumentaci k LSS .

1. Konfigurace přijímačů protokolů. Při konfiguraci přijímače protokolů vyberte jako šablonu protokolu JSON .

2. Stáhněte si konfigurační soubor zpa. conf.

   wget -v https://aka.ms/sentinel-zscalerprivateaccess-conf -O zpa.conf
   

3. Přihlaste se k serveru, na který jste nainstalovali agenta Azure Log Analytics.

4. Zkopírujte zpa. conf do workspace_id složky/conf/omsagent.d//etc/opt/Microsoft/omsagent/.

5. Upravte zpa. conf následujícím způsobem:

   1. Zadejte port, na který jste nastavili přijímače protokolu Zscaler na přeposílání protokolů (řádek 4).
   2. Nahraďte workspace_id skutečnou hodnotou ID vašeho pracovního prostoru (řádky 14, 15, 16, 19).

6. Uložte změny a restartujte službu Azure Log Analytics Agent pro Linux pomocí následujícího příkazu:

   sudo /opt/microsoft/omsagent/bin/service_control restart
   

Hodnotu ID pracovního prostoru najdete na stránce konektoru ZScaler Private Access Connector nebo na stránce Správa agenti v pracovním prostoru Log Analytics.

Další kroky

Další informace naleznete v tématu:

• Katalog řešení Sentinel společnosti Microsoft
• Integrace analýzy hrozeb ve službě Microsoft Sentinel