AI Vectra Stream-Connector für Microsoft Sentinel
Mit dem AI Vectra Stream-Connector können Netzwerkmetadaten, die von Vectra-Sensoren gesammelt wurden, über das Netzwerk und die Cloud an Microsoft Sentinel gesendet werden.
Connectorattribute
| Connectorattribut | BESCHREIBUNG |
|---|---|
| Log Analytics-Tabellen | VectraStream_CL |
| Unterstützung für Datensammlungsregeln | Derzeit nicht unterstützt |
| Unterstützt von | Vectra AI |
Abfragebeispiele
Auflisten aller DNS-Abfragen
VectraStream
| where metadata_type == "metadat_dns"
| project orig_hostname, id_orig_h, resp_hostname, id_resp_h, id_resp_p, qtype_name, ['query'], answers
Anzahl von DNS-Anforderungen pro Typ
VectraStream
| where metadata_type == "metadat_dns"
| summarize count() by type_name
Top 10 der Abfrage an nicht vorhandene Domäne
VectraStream
| where metadata_type == "metadat_dns"
| where rcode_name == "NXDomain"
| summarize Count=count() by tostring(query)
| order by Count desc
| limit 10
Host und Websites mit nicht kurzlebigem Diffie-Hellman-Schlüsselaustausch
VectraStream
| where metadata_type == "metadat_dns"
| where cipher contains "TLS_RSA"
| distinct orig_hostname, id_orig_h, id_resp_h, server_name, cipher
| project orig_hostname, id_orig_h, id_resp_h, server_name, cipher
Voraussetzungen
Stellen Sie für die Integration in AI Vectra Stream sicher, dass Sie über Folgendes verfügen:
- Vectra AI Brain: Muss konfiguriert sein, um Streammetadaten in JSON exportieren zu können.
Installationsanweisungen des Anbieters
Hinweis
Dieser Datenconnector benötigt einen Parser auf der Basis einer Kusto-Funktion, um erwartungsgemäß zu funktionieren: VectraStream. (Wird zusammen mit der Microsoft Sentinel-Lösung bereitgestellt.)
- Installieren und Onboarding des Agents für Linux
Installieren Sie den Linux-Agent in einer separaten Linux-Instanz.
Protokolle werden nur von Linux-Agents gesammelt.
- Konfigurieren der zu erfassenden Protokolle
Führen Sie die folgenden Konfigurationsschritte aus, um Vectra Stream-Metadaten in Microsoft Sentinel zu übertragen. Der Log Analytics-Agent wird verwendet, um benutzerdefinierte JSON-Dateien an Azure Monitor zu senden und die Speicherung der Metadaten in einer benutzerdefinierten Tabelle zu ermöglichen. Weitere Informationen finden Sie in der Dokumentation zu Azure Monitor.
Laden Sie die Konfigurationsdatei für den Log Analytics-Agent herunter: „VectraStream.conf“ (befindet sich im Ordner „Connector“ innerhalb der Vectra-Lösung: https://aka.ms/sentinel-aivectrastream-conf).
Melden Sie sich bei dem Server an, auf dem Sie den Azure Log Analytics-Agent installiert haben.
Kopieren Sie die Datei „VectraStream.conf“ in den Ordner „/etc/opt/microsoft/omsagent/Arbeitsbereichs-ID/conf/omsagent.d/“.
Bearbeiten Sie die Datei „VectraStream.conf“ wie folgt:
i. Konfigurieren Sie bei Bedarf einen alternativen Port, an den Daten gesendet werden sollen. Der Standardport ist 29009.
ii. Ersetzen Sie Arbeitsbereichs-ID durch den tatsächlichen Wert Ihrer Arbeitsbereichs-ID.
Speichern Sie die Änderungen, und starten Sie den Azure Log Analytics-Agent für Linux mit dem folgenden Befehl neu: sudo /opt/microsoft/omsagent/bin/service_control restart
Konfigurieren und Verbinden von Vectra AI Stream
Konfigurieren Sie Vectra AI Brain, um Streammetadaten im JSON-Format über den Log Analytics-Agent an Ihren Microsoft Sentinel-Arbeitsbereich weiterzuleiten.
Navigieren Sie auf der Vectra-Benutzeroberfläche zu „Settings“ > „Cognito Stream“, und bearbeiten Sie die Zielkonfiguration:
Wählen Sie „RAW JSON“ als Herausgeber aus.
Legen Sie die Server-IP-Adresse oder den Hostnamen fest. (Hierbei handelt es sich um den Host, auf dem der Log Analytics-Agent ausgeführt wird.)
Legen Sie alle Ports auf 29009 fest. (Dieser Port kann bei Bedarf geändert werden.)
Speichern
Legen Sie Protokolltypen fest. (Wählen Sie alle verfügbaren Protokolltypen aus.)
Klicken Sie im Menü „Einstellungen“ auf Speichern
Nächste Schritte
Weitere Informationen finden Sie in der entsprechenden Lösung im Azure Marketplace.