[En desuso] Illumio Core a través del conector del agente heredado para Microsoft Sentinel

  • Artículo

El conector de datos Illumio Core proporciona la capacidad de ingerir registros de Illumio Core en Microsoft Sentinel.

Atributos del conector

Atributo del conector Descripción
Tabla de Log Analytics CommonSecurityLog (IllumioCore)
Soporte de reglas de recopilación de datos DCR de transformación del área de trabajo
Compatible con Microsoft

Ejemplos de consultas

Principales 10 tipos de evento

IllumioCoreEvent

| where isnotempty(EventType)
 
| summarize count() by EventType

| top 10 by count_

Instrucciones de instalación del proveedor

NOTA: este conector de datos depende de un analizador basado en una función de Kusto para que funcione según lo previsto, el cual se implementa como parte de la solución. Para ver el código de la función en Log Analytics, abra la hoja Log Analytics/Microsoft Sentinel Logs, haga clic en Funciones y busque el alias IllumioCoreEvent y cargue el código de la función o haga clic aquí. La función suele tardar entre 10 y 15 minutos en activarse tras la instalación/actualización de la solución y asigna los eventos de Illumio Core a Microsoft Sentinel Information Model (ASIM).

  1. Configuración del agente de Syslog para Linux

Instale y configure el agente de Linux para recopilar los mensajes de Syslog del formato de evento común (CEF) y reenviarlos a Microsoft Sentinel.

Tenga en cuenta que los datos de todas las regiones se almacenarán en el área de trabajo seleccionada.

1.1. Selección o creación de una máquina Linux

Seleccione o cree una máquina Linux que Microsoft Sentinel usará como proxy entre la solución de seguridad y Microsoft Sentinel. Dicha máquina puede encontrarse en su entorno local, en Azure o en otras nubes.

1.2. Instalación del recopilador de CEF en la máquina Linux

Instale Microsoft Monitoring Agent en la máquina Linux y configure la máquina para que escuche en el puerto necesario y reenvíe los mensajes al área de trabajo de Microsoft Sentinel. El recopilador CEF recopila mensajes CEF en el puerto TCP 514.

  1. Asegúrese de tener Python en la máquina con el siguiente comando: python -version.
  1. Debe tener permisos elevados (sudo) en la máquina.

Ejecute el comando siguiente para instalar y aplicar el recopilador de CEF:

sudo wget -O cef_installer.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/CEF/cef_installer.py&&sudo python cef_installer.py {0} {1}

  1. Configuración de Ilumio Core para enviar registros mediante CEF

2.1 Configuración del formato de evento

  1. En el menú de la consola web de PCE, elija Configuración y Configuración de eventos para ver la configuración actual.

  2. Haga clic en Editar para cambiar la configuración.

  3. Establezca Formato de evento en CEF.

  4. (Opcional) Configure la gravedad del evento y el período de retención.

2.2 Configuración del reenvío de eventos a un servidor de Syslog externo

  1. En el menú de la consola web de PCE, elija Configuración y Configuración de eventos.

  2. Haga clic en Agregar.

  3. Haga clic en Agregar repositorio.

  4. Complete el cuadro de diálogo Agregar repositorio.

  5. Haga clic en Aceptar para guardar la configuración de reenvío de eventos.

  6. Validación de la conexión

Siga las instrucciones para validar la conectividad:

Abra Log Analytics para comprobar si los registros se reciben con el esquema CommonSecurityLog.

La conexión tarda unos 20 minutos en empezar a transmitir datos al área de trabajo.

Si no se reciben los registros, ejecute el siguiente script de validación de conectividad:

  1. Asegúrese de tener Python en la máquina con el siguiente comando: python -version
  1. Debe tener permisos elevados (sudo) en la máquina.

Ejecute el comando siguiente para validar la conectividad:

sudo wget -O cef_troubleshoot.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/CEF/cef_troubleshoot.py&&sudo python cef_troubleshoot.py {0}

  1. Proteja la máquina

Asegúrese de configurar la seguridad de la máquina de acuerdo con la directiva de seguridad de su organización.

Más información>

Pasos siguientes

Para obtener más información, vaya a la solución relacionada en Azure Marketplace.