Conector Awake Security para Microsoft Sentinel

  • Artículo

El conector Awake Security CEF permite a los usuarios enviar coincidencias del modelo de detección desde la plataforma de Awake Security a Microsoft Sentinel. Corrija las amenazas rápidamente con la eficacia de la detección y respuesta de red y acelere las investigaciones con una visibilidad profunda, especialmente en las entidades no administradas, incluidos usuarios, dispositivos y aplicaciones de la red. El conector también permite la creación de alertas personalizadas centradas en la seguridad de red, incidentes, libros y cuadernos alineados con los flujos de trabajo de las operaciones de seguridad existentes.

Atributos del conector

Atributo del conector Descripción
Tabla de Log Analytics CommonSecurityLog (AwakeSecurity)
Soporte de reglas de recopilación de datos DCR de transformación del área de trabajo
Compatible con Arista: Awake Security

Ejemplos de consultas

Las 5 coincidencias principales del modelo adversario por gravedad

union CommonSecurityLog

| where DeviceVendor == "Arista Networks" and DeviceProduct == "Awake Security"

| summarize  TotalActivities=sum(EventCount) by Activity,LogSeverity

| top 5 by LogSeverity desc

Los 5 dispositivos principales por puntuación de riesgo de dispositivo

CommonSecurityLog 
| where DeviceVendor == "Arista Networks" and DeviceProduct == "Awake Security" 
| extend DeviceCustomNumber1 = coalesce(column_ifexists("FieldDeviceCustomNumber1", long(null)), DeviceCustomNumber1, long(null)) 
| summarize MaxDeviceRiskScore=max(DeviceCustomNumber1),TimesAlerted=count() by SourceHostName=coalesce(SourceHostName,"Unknown") 
| top 5 by MaxDeviceRiskScore desc

Instrucciones de instalación del proveedor

  1. Configuración del agente de Syslog para Linux

Instale y configure el agente de Linux para recopilar los mensajes de Syslog del formato de evento común (CEF) y reenviarlos a Microsoft Sentinel.

Tenga en cuenta que los datos de todas las regiones se almacenarán en el área de trabajo seleccionada.

1.1. Selección o creación de una máquina Linux

Seleccione o cree una máquina Linux que Microsoft Sentinel usará como proxy entre la solución de seguridad y Microsoft Sentinel. Dicha máquina puede encontrarse en su entorno local, en Azure o en otras nubes.

1.2. Instalación del recopilador de CEF en la máquina Linux

Instale Microsoft Monitoring Agent en la máquina Linux y configure la máquina para que escuche en el puerto necesario y reenvíe los mensajes al área de trabajo de Microsoft Sentinel. El recopilador CEF recopila mensajes CEF en el puerto TCP 514.

  1. Asegúrese de tener Python en la máquina con el siguiente comando: python -version.
  1. Debe tener permisos elevados (sudo) en la máquina.

Ejecute el comando siguiente para instalar y aplicar el recopilador de CEF:

sudo wget -O cef_installer.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/CEF/cef_installer.py&&sudo python cef_installer.py {0} {1}

  1. Reenvíe los resultados de coincidencia del modelo adversario de Awake a un recopilador CEF.

Realice los pasos siguientes para reenviar los resultados de coincidencia del modelo adversario de Awake a un recopilador CEF que escucha en el puerto TCP 514 en la dirección IP 192.168.0.1:

  • Vaya a la página Detection Management Skills de la interfaz de usuario de Awake.
  • Haga clic en + Add New Skill.
  • Establezca el campo Expression en

integrations.cef.tcp { destination: "192.168.0.1", port: 514, secure: false, severity: Warning }

  • Indique un nombre descriptivo para el campo Title, como,

Reenvíe el resultado del modelo adversario de Awake a Microsoft Sentinel.

  • Establezca el identificador de referencia en algo que se detecte fácilmente, como

integrations.cef.sentinel-forwarder

  • Haga clic en Guardar.

Nota: Unos minutos después de guardar la definición y otros campos, el sistema comenzará a enviar nuevos resultados de coincidencia del modelo al recopilador de eventos CEF cuando se detecten.

Para más información, consulte la página de incorporación de una integración de inserción de administración de eventos e información de seguridad de la documentación de Ayuda en la interfaz de usuario de Awake.

  1. Validación de la conexión

Siga las instrucciones para validar la conectividad:

Abra Log Analytics para comprobar si los registros se reciben con el esquema CommonSecurityLog.

La conexión tarda unos 20 minutos en empezar a transmitir datos al área de trabajo.

Si no se reciben los registros, ejecute el siguiente script de validación de conectividad:

  1. Asegúrese de tener Python en la máquina con el siguiente comando: python -version
  1. Debe tener permisos elevados (sudo) en la máquina.

Ejecute el comando siguiente para validar la conectividad:

sudo wget -O cef_troubleshoot.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/CEF/cef_troubleshoot.py&&sudo python cef_troubleshoot.py {0}

  1. Proteja la máquina

Asegúrese de configurar la seguridad de la máquina de acuerdo con la directiva de seguridad de su organización.

Más información>

Pasos siguientes

Para obtener más información, vaya a la solución relacionada en Azure Marketplace.