S využitím funkcíSecure Elements prostřednictvím konektoru pro Microsoft Sentinel

  • Článek

WithSecure Elements je sjednocená cloudová platforma pro zabezpečení zabezpečení. Připojením withSecure Elements přes Připojení or k Microsoft Sentinelu je možné přijímat události zabezpečení ve formátu CEF (Common Event Format) přes syslog. Vyžaduje nasazení elementů Připojení or v místním prostředí nebo v cloudu. Formát CEF (Common Event Format) poskytuje nativní vyhledávání a korelaci, upozorňování a rozšiřování analýzy hrozeb pro každý protokol dat.

Jedná se o automaticky vygenerovaný obsah. Pokud potřebujete změny, obraťte se na poskytovatele řešení.

atributy Připojení oru

atribut Připojení or Popis
Tabulky Log Analytics CommonSecurityLog (s událostmiSecure)
Podpora pravidel shromažďování dat Transformace pracovního prostoru – DCR
Podporováno S nezabezpečeným

Ukázky dotazů

Všechny protokoly

CommonSecurityLog

| where DeviceVendor == "WithSecure™"

| sort by TimeGenerated

Pokyny k instalaci dodavatele

  1. Konfigurace agenta Syslog pro Linux

Nainstalujte a nakonfigurujte agenta Linuxu tak, aby shromažďoval zprávy Syslogu ve formátu CEF (Common Event Format) a předával je do Služby Microsoft Sentinel.

Všimněte si, že data ze všech oblastí budou uložena ve vybraném pracovním prostoru.

1.1 Výběr nebo vytvoření počítače s Linuxem

Vyberte nebo vytvořte počítač s Linuxem, který Bude Microsoft Sentinel používat jako proxy server mezi vaším řešením WithSecurity a Sentinelem. Počítač může být místní prostředí, Microsoft Azure nebo jiný cloud.

Linux musí mít syslog-ng a python/python3 nainstalovat.

1.2 Instalace kolektoru CEF na počítači s Linuxem

Nainstalujte agenta Microsoft Monitoring Agent na počítač s Linuxem a nakonfigurujte počítač tak, aby naslouchal potřebným portům a přeposílal zprávy do pracovního prostoru Služby Microsoft Sentinel. Kolektor CEF shromažďuje zprávy CEF na portu 514 TCP.

  1. Pomocí následujícího příkazu se ujistěte, že máte na svém počítači Python: python -version.
  1. Na počítači musíte mít zvýšená oprávnění (sudo).

Spuštěním následujícího příkazu nainstalujte a použijte kolektor CEF:

sudo wget -O cef_installer.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/CEF/cef_installer.py&&sudo python cef_installer.py {0} {1}

Pro Python3 použijte následující příkaz:

sudo wget -O cef_installer.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/CEF/cef_installer.py&&sudo python3 cef_installer.py {0} {1}

  1. Předávání dat z elementů WithSecure Připojení or do agenta Syslog

Tento článek popisuje, jak nainstalovat a nakonfigurovat elementy Připojení krok za krokem.

2.1 Order Připojení or subscription

Pokud Připojení objednávky předplatného ještě nebyly objednány na portálu Elements Portal, přejděte na EPP. Pak přejděte do části Soubory ke stažení a v části Elements Připojení or klikněte na tlačítko Vytvořit klíč předplatného. Klíč předplatného můžete zkontrolovat v části Předplatná.

2.2 Stáhnout Připojení or

Přejděte na Položky ke stažení a v části WithSecure Elements Připojení or vyberte správný instalační program.

2.3 Vytvoření klíče rozhraní API pro správu

Když v EPP otevřete nastavení účtu v pravém horním rohu. Pak vyberte Získat klíč rozhraní API pro správu. Pokud byl klíč vytvořen dříve, je možné ho tam také přečíst.

2.4 Instalace Připojení or

Pokud chcete nainstalovat elementy Připojení, postupujte podle pokynů k elementům Připojení or docs.

2.5 Konfigurace předávání událostí

Pokud během instalace není nakonfigurovaný přístup k rozhraní API, postupujte podle konfigurace přístupu rozhraní API pro elementy Připojení or. Pak přejděte na EPP, pak profily a pak použijte pro Připojení or, ze kterého můžete zobrazit profily konektorů. Vytvořte nový profil (nebo upravte existující profil jen pro čtení). V případě předávání událostí ho povolte. Systémová adresa SIEM: 127.0.0.1:514. Nastavte formát na běžný formát události. Protokol je TCP. Uložte profil a přiřaďte ho k elementům Připojení or na kartě Zařízení.

  1. Ověření připojení

Podle pokynů ověřte připojení:

Otevřete Log Analytics a zkontrolujte, jestli se protokoly přijímají pomocí schématu CommonSecurityLog.

Může to trvat přibližně 20 minut, než připojení streamuje data do vašeho pracovního prostoru.

Pokud protokoly nejsou přijaty, spusťte následující ověřovací skript připojení:

  1. Pomocí následujícího příkazu se ujistěte, že máte na počítači Python: python -version.
  1. Na počítači musíte mít zvýšená oprávnění (sudo).

Spuštěním následujícího příkazu ověřte připojení:

sudo wget -O cef_troubleshoot.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/CEF/cef_troubleshoot.py&&sudo python cef_troubleshoot.py {0}

Pro Python3 použijte následující příkaz:

sudo wget -O cef_troubleshoot.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/CEF/cef_troubleshoot.py&&sudo python3 cef_troubleshoot.py {0}

  1. Zabezpečení počítače

Nezapomeňte nakonfigurovat zabezpečení počítače podle zásad zabezpečení vaší organizace.

Další informace >

Další kroky

Další informace najdete v souvisejícím řešení na Azure Marketplace.