S využitím funkcíSecure Elements prostřednictvím konektoru pro Microsoft Sentinel
WithSecure Elements je sjednocená cloudová platforma pro zabezpečení zabezpečení. Připojením withSecure Elements přes Připojení or k Microsoft Sentinelu je možné přijímat události zabezpečení ve formátu CEF (Common Event Format) přes syslog. Vyžaduje nasazení elementů Připojení or v místním prostředí nebo v cloudu. Formát CEF (Common Event Format) poskytuje nativní vyhledávání a korelaci, upozorňování a rozšiřování analýzy hrozeb pro každý protokol dat.
Jedná se o automaticky vygenerovaný obsah. Pokud potřebujete změny, obraťte se na poskytovatele řešení.
atributy Připojení oru
atribut Připojení or | Popis |
---|---|
Tabulky Log Analytics | CommonSecurityLog (s událostmiSecure) |
Podpora pravidel shromažďování dat | Transformace pracovního prostoru – DCR |
Podporováno | S nezabezpečeným |
Ukázky dotazů
Všechny protokoly
CommonSecurityLog
| where DeviceVendor == "WithSecure™"
| sort by TimeGenerated
Pokyny k instalaci dodavatele
- Konfigurace agenta Syslog pro Linux
Nainstalujte a nakonfigurujte agenta Linuxu tak, aby shromažďoval zprávy Syslogu ve formátu CEF (Common Event Format) a předával je do Služby Microsoft Sentinel.
Všimněte si, že data ze všech oblastí budou uložena ve vybraném pracovním prostoru.
1.1 Výběr nebo vytvoření počítače s Linuxem
Vyberte nebo vytvořte počítač s Linuxem, který Bude Microsoft Sentinel používat jako proxy server mezi vaším řešením WithSecurity a Sentinelem. Počítač může být místní prostředí, Microsoft Azure nebo jiný cloud.
Linux musí mít
syslog-ng
apython
/python3
nainstalovat.
1.2 Instalace kolektoru CEF na počítači s Linuxem
Nainstalujte agenta Microsoft Monitoring Agent na počítač s Linuxem a nakonfigurujte počítač tak, aby naslouchal potřebným portům a přeposílal zprávy do pracovního prostoru Služby Microsoft Sentinel. Kolektor CEF shromažďuje zprávy CEF na portu 514 TCP.
- Pomocí následujícího příkazu se ujistěte, že máte na svém počítači Python: python -version.
- Na počítači musíte mít zvýšená oprávnění (sudo).
Spuštěním následujícího příkazu nainstalujte a použijte kolektor CEF:
sudo wget -O cef_installer.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/CEF/cef_installer.py&&sudo python cef_installer.py {0} {1}
Pro Python3 použijte následující příkaz:
sudo wget -O cef_installer.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/CEF/cef_installer.py&&sudo python3 cef_installer.py {0} {1}
- Předávání dat z elementů WithSecure Připojení or do agenta Syslog
Tento článek popisuje, jak nainstalovat a nakonfigurovat elementy Připojení krok za krokem.
2.1 Order Připojení or subscription
Pokud Připojení objednávky předplatného ještě nebyly objednány na portálu Elements Portal, přejděte na EPP. Pak přejděte do části Soubory ke stažení a v části Elements Připojení or klikněte na tlačítko Vytvořit klíč předplatného. Klíč předplatného můžete zkontrolovat v části Předplatná.
2.2 Stáhnout Připojení or
Přejděte na Položky ke stažení a v části WithSecure Elements Připojení or vyberte správný instalační program.
2.3 Vytvoření klíče rozhraní API pro správu
Když v EPP otevřete nastavení účtu v pravém horním rohu. Pak vyberte Získat klíč rozhraní API pro správu. Pokud byl klíč vytvořen dříve, je možné ho tam také přečíst.
2.4 Instalace Připojení or
Pokud chcete nainstalovat elementy Připojení, postupujte podle pokynů k elementům Připojení or docs.
2.5 Konfigurace předávání událostí
Pokud během instalace není nakonfigurovaný přístup k rozhraní API, postupujte podle konfigurace přístupu rozhraní API pro elementy Připojení or. Pak přejděte na EPP, pak profily a pak použijte pro Připojení or, ze kterého můžete zobrazit profily konektorů. Vytvořte nový profil (nebo upravte existující profil jen pro čtení). V případě předávání událostí ho povolte. Systémová adresa SIEM: 127.0.0.1:514. Nastavte formát na běžný formát události. Protokol je TCP. Uložte profil a přiřaďte ho k elementům Připojení or na kartě Zařízení.
- Ověření připojení
Podle pokynů ověřte připojení:
Otevřete Log Analytics a zkontrolujte, jestli se protokoly přijímají pomocí schématu CommonSecurityLog.
Může to trvat přibližně 20 minut, než připojení streamuje data do vašeho pracovního prostoru.
Pokud protokoly nejsou přijaty, spusťte následující ověřovací skript připojení:
- Pomocí následujícího příkazu se ujistěte, že máte na počítači Python: python -version.
- Na počítači musíte mít zvýšená oprávnění (sudo).
Spuštěním následujícího příkazu ověřte připojení:
sudo wget -O cef_troubleshoot.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/CEF/cef_troubleshoot.py&&sudo python cef_troubleshoot.py {0}
Pro Python3 použijte následující příkaz:
sudo wget -O cef_troubleshoot.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/CEF/cef_troubleshoot.py&&sudo python3 cef_troubleshoot.py {0}
- Zabezpečení počítače
Nezapomeňte nakonfigurovat zabezpečení počítače podle zásad zabezpečení vaší organizace.
Další kroky
Další informace najdete v souvisejícím řešení na Azure Marketplace.