Konektor Probuzené zabezpečení pro Microsoft Sentinel

  • Článek

Konektor Probuzené zabezpečení CEF umožňuje uživatelům odesílat shody modelu detekce z platformy Probuzené zabezpečení do Microsoft Sentinelu. Rychle opravujte hrozby pomocí možnosti detekce sítě a reakce a urychlíte šetření s hlubokým přehledem zejména o nespravovaných entitách, včetně uživatelů, zařízení a aplikací ve vaší síti. Konektor také umožňuje vytvářet vlastní výstrahy, incidenty, sešity a poznámkové bloky zaměřené na zabezpečení sítě, které odpovídají vašim stávajícím pracovním postupům operací zabezpečení.

Jedná se o automaticky vygenerovaný obsah. Pokud potřebujete změny, obraťte se na poskytovatele řešení.

atributy Připojení oru

atribut Připojení or Popis
Tabulky Log Analytics CommonSecurityLog (AwakeSecurity)
Podpora pravidel shromažďování dat Transformace pracovního prostoru – DCR
Podporováno Arista – vzhůru zabezpečení

Ukázky dotazů

Top 5 Adversarial Model Matches by Severity

union CommonSecurityLog

| where DeviceVendor == "Arista Networks" and DeviceProduct == "Awake Security"

| summarize  TotalActivities=sum(EventCount) by Activity,LogSeverity

| top 5 by LogSeverity desc

Top 5 Devices by Device Risk Score

CommonSecurityLog 
| where DeviceVendor == "Arista Networks" and DeviceProduct == "Awake Security" 
| extend DeviceCustomNumber1 = coalesce(column_ifexists("FieldDeviceCustomNumber1", long(null)), DeviceCustomNumber1, long(null)) 
| summarize MaxDeviceRiskScore=max(DeviceCustomNumber1),TimesAlerted=count() by SourceHostName=coalesce(SourceHostName,"Unknown") 
| top 5 by MaxDeviceRiskScore desc

Pokyny k instalaci dodavatele

  1. Konfigurace agenta Syslog pro Linux

Nainstalujte a nakonfigurujte agenta Linuxu tak, aby shromažďoval zprávy Syslogu ve formátu CEF (Common Event Format) a předával je do Služby Microsoft Sentinel.

Všimněte si, že data ze všech oblastí budou uložena ve vybraném pracovním prostoru.

1.1 Výběr nebo vytvoření počítače s Linuxem

Vyberte nebo vytvořte počítač s Linuxem, který Bude Microsoft Sentinel používat jako proxy server mezi vaším řešením zabezpečení a Microsoft Sentinelem, může být váš místní prostředí, Azure nebo jiné cloudy.

1.2 Instalace kolektoru CEF na počítači s Linuxem

Nainstalujte agenta Microsoft Monitoring Agent na počítač s Linuxem a nakonfigurujte počítač tak, aby naslouchal potřebným portům a přeposílal zprávy do pracovního prostoru Služby Microsoft Sentinel. Kolektor CEF shromažďuje zprávy CEF na portu 514 TCP.

  1. Pomocí následujícího příkazu se ujistěte, že máte na svém počítači Python: python -version.
  1. Na počítači musíte mít zvýšená oprávnění (sudo).

Spuštěním následujícího příkazu nainstalujte a použijte kolektor CEF:

sudo wget -O cef_installer.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/CEF/cef_installer.py&&sudo python cef_installer.py {0} {1}

  1. Forward Awake Adversarial Model porovnává výsledky kolektoru CEF.

Pomocí následujících kroků přeposílání nežádoucího modelu vzhůru nežádoucích osob předáte výsledky kolektoru CEF na portu TCP 514 na IP adrese 192.168.0.1:

  • Přejděte na stránku Dovednosti správy detekce v uživatelském rozhraní Probuzené.
  • Klikněte na + Přidat novou dovednost.
  • Nastavte pole Výraz na

integrations.cef.tcp { destination: "192.168.0.1", port: 514, secure: false, severity: Warning }

  • Nastavte pole Název na popisný název, například:

Výsledek shody nežádoucího modelu vzhůru dozhůru s Microsoft Sentinelem

  • Nastavte identifikátor odkazu na něco snadno zjistitelného, například:

integrations.cef.sentinel-forwarder

  • Klikněte na Uložit.

Poznámka: Během několika minut od uložení definice a dalších polí začne systém odesílat výsledky shody nového modelu do kolektoru událostí CEF při jejich zjištění.

Další informace najdete na stránce Přidání informací o zabezpečení a integrace nabízených oznámení správy událostí z dokumentace nápovědy v uživatelském rozhraní Probuzené.

  1. Ověření připojení

Podle pokynů ověřte připojení:

Otevřete Log Analytics a zkontrolujte, jestli se protokoly přijímají pomocí schématu CommonSecurityLog.

Může to trvat přibližně 20 minut, než připojení streamuje data do vašeho pracovního prostoru.

Pokud protokoly nejsou přijaty, spusťte následující ověřovací skript připojení:

  1. Pomocí následujícího příkazu se ujistěte, že máte na počítači Python: python -version.
  1. Na počítači musíte mít zvýšená oprávnění (sudo).

Spuštěním následujícího příkazu ověřte připojení:

sudo wget -O cef_troubleshoot.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/CEF/cef_troubleshoot.py&&sudo python cef_troubleshoot.py {0}

  1. Zabezpečení počítače

Nezapomeňte nakonfigurovat zabezpečení počítače podle zásad zabezpečení vaší organizace.

Další informace >

Další kroky

Další informace najdete v souvisejícím řešení na Azure Marketplace.