Konektor AI Vectra Stream pro Microsoft Sentinel
Konektor AI Vectra Stream umožňuje odesílat metadata sítě shromážděná senzory Vectra přes síť a cloud do Microsoft Sentinelu.
Jedná se o automaticky vygenerovaný obsah. Pokud potřebujete změny, obraťte se na poskytovatele řešení.
atributy Připojení oru
| atribut Připojení or | Popis |
|---|---|
| Tabulky Log Analytics | VectraStream_CL |
| Podpora pravidel shromažďování dat | V současnosti není podporováno |
| Podporováno | Vectra AI |
Ukázky dotazů
Výpis všech dotazů DNS
VectraStream
| where metadata_type == "metadat_dns"
| project orig_hostname, id_orig_h, resp_hostname, id_resp_h, id_resp_p, qtype_name, ['query'], answers
Počet požadavků DNS na typ
VectraStream
| where metadata_type == "metadat_dns"
| summarize count() by type_name
Prvních 10 dotazů na neexistující doménu
VectraStream
| where metadata_type == "metadat_dns"
| where rcode_name == "NXDomain"
| summarize Count=count() by tostring(query)
| order by Count desc
| limit 10
Hostování a weby používající nefekční výměnu klíčů Diffie-Hellman
VectraStream
| where metadata_type == "metadat_dns"
| where cipher contains "TLS_RSA"
| distinct orig_hostname, id_orig_h, id_resp_h, server_name, cipher
| project orig_hostname, id_orig_h, id_resp_h, server_name, cipher
Požadavky
Pokud chcete integrovat S AI Vectra Stream, ujistěte se, že máte:
- Vectra AI Brain: Musí být nakonfigurované pro export metadat streamu ve formátu JSON.
Pokyny k instalaci dodavatele
Poznámka:
Tento datový konektor závisí na analyzátoru založeném na funkci Kusto, která funguje podle očekávání vectraStream , která se nasazuje s řešením Microsoft Sentinel.
- Instalace a onboarding agenta pro Linux
Nainstalujte agenta Linuxu do instance Sperate Linuxu.
Protokoly se shromažďují jenom z linuxových agentů.
- Konfigurace protokolů, které se mají shromažďovat
Pomocí následujících kroků konfigurace získejte metadata vectra Streamu do Služby Microsoft Sentinel. Agent Log Analytics se využívá k odesílání vlastního KÓDU JSON do služby Azure Monitor a umožňuje ukládání metadat do vlastní tabulky. Další informace najdete v dokumentaci ke službě Azure Monitor.
Stáhněte konfigurační soubor pro agenta Log Analytics: VectraStream.conf (umístěný ve složce Připojení or v rámci řešení Vectra: https://aka.ms/sentinel-aivectrastream-conf).
Přihlaste se k serveru, na kterém jste nainstalovali agenta Azure Log Analytics.
Zkopírujte Soubor VectraStream.conf do složky /etc/opt/microsoft/omsagent/workspace_id/conf/omsagent.d/.
Upravte Soubor VectraStream.conf následujícím způsobem:
i. v případě potřeby nakonfigurujte alternativní port pro odesílání dat. Výchozí port je 29009.
ii. nahraďte workspace_id skutečnou hodnotou ID pracovního prostoru.
Uložte změny a restartujte agenta Azure Log Analytics pro službu Linux pomocí následujícího příkazu: sudo /opt/microsoft/omsagent/bin/service_control restart
Konfigurace a připojení streamu Vectra AI
Nakonfigurujte Vectra AI Brain tak, aby předával metadata streamu ve formátu JSON do pracovního prostoru Služby Microsoft Sentinel prostřednictvím agenta Log Analytics.
V uživatelském rozhraní Vectra přejděte do Nastavení > Cognito Stream a upravte cílovou konfiguraci:
Vybrat vydavatele: RAW JSON
Nastavte IP adresu serveru nebo název hostitele (což je hostitel, na kterém běží agent Log Analytics).
Nastavte veškerý port na 29009 (v případě potřeby je možné tento port upravit).
Uložit
Nastavení typů protokolů (výběr všech dostupných typů protokolů)
Klikněte na Uložit.
Další kroky
Další informace najdete v souvisejícím řešení na Azure Marketplace.