Conector Micro Deep Security para Microsoft Sentinel
El conector Deep Security de Trend Micro le permite conectar fácilmente los registros de Deep Security con Microsoft Sentinel para ver paneles, crear alertas personalizadas y mejorar la investigación. Gracias a esto, dispondrá de más información sobre la red y los sistemas de la organización y podrá mejorar las capacidades de las operaciones de seguridad.
Este contenido se genera automáticamente. En relación con los cambios, ponte en contacto con el proveedor de soluciones.
Atributos del conector
| Atributo del conector | Descripción |
|---|---|
| URL de función de Kusto | https://aka.ms/TrendMicroDeepSecurityFunction |
| Tabla de Log Analytics | CommonSecurityLog (TrendMicroDeepSecurity) |
| Compatibilidad con reglas de recopilación de datos | DCR de transformación del área de trabajo |
| Compatible con | Trend Micro |
Ejemplos de consultas
Eventos de prevención de intrusiones
TrendMicroDeepSecurity
| where DeepSecurityModuleName == "Intrusion Prevention"
| sort by TimeGenerated
Eventos de supervisión de integridad
TrendMicroDeepSecurity
| where DeepSecurityModuleName == "Integrity Monitoring"
| sort by TimeGenerated
Eventos de firewall
TrendMicroDeepSecurity
| where DeepSecurityModuleName == "Firewall Events"
| sort by TimeGenerated
Eventos de inspección de registros
TrendMicroDeepSecurity
| where DeepSecurityModuleName == "Log Inspection"
| sort by TimeGenerated
Eventos de antimalware
TrendMicroDeepSecurity
| where DeepSecurityModuleName == "Anti-Malware"
| sort by TimeGenerated
Eventos de reputación web
TrendMicroDeepSecurity
| where DeepSecurityModuleName == "Web Reputation"
| sort by TimeGenerated
Instrucciones de instalación del proveedor
- Configuración del agente de Syslog para Linux
Instale y configure el agente de Linux para recopilar los mensajes de Syslog del formato de evento común (CEF) y reenviarlos a Microsoft Sentinel.
Tenga en cuenta que los datos de todas las regiones se almacenarán en el área de trabajo seleccionada.
1.1. Selección o creación de una máquina Linux
Seleccione o cree una máquina Linux que Microsoft Sentinel usará como proxy entre la solución de seguridad y Microsoft Sentinel. Dicha máquina puede encontrarse en su entorno local, en Azure o en otras nubes.
1.2. Instalación del recopilador de CEF en la máquina Linux
Instale Microsoft Monitoring Agent en la máquina Linux y configure la máquina para que escuche en el puerto necesario y reenvíe los mensajes al área de trabajo de Microsoft Sentinel. El recopilador CEF recopila mensajes CEF en el puerto TCP 514.
- Asegúrese de tener Python en la máquina con el siguiente comando: python -version.
- Debe tener permisos elevados (sudo) en la máquina.
Ejecute el comando siguiente para instalar y aplicar el recopilador de CEF:
sudo wget -O cef_installer.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/CEF/cef_installer.py&&sudo python cef_installer.py {0} {1}
Reenvío de registros de Deep Security de Trend Micro al agente de Syslog
Establezca la solución de seguridad para enviar los mensajes de Syslog en formato CEF a la máquina proxy. Asegúrese de enviar los registros al puerto TCP 514 en la dirección IP de la máquina.
Reenvíe los eventos de Deep Security de Trend Micro al agente de Syslog.
Defina una nueva configuración de Syslog que use el formato CEF haciendo referencia a este artículo de conocimientos para obtener información adicional.
Configure Deep Security Manager para usar esta nueva configuración y reenviar eventos al agente de Syslog mediante estas instrucciones.
Asegúrese de guardar la función TrendMicroDeepSecurity para que consulte correctamente los datos de Deep Security de Trend Micro.
Validación de la conexión
Siga las instrucciones para validar la conectividad:
Abra Log Analytics para comprobar si los registros se reciben con el esquema CommonSecurityLog.
La conexión tarda unos 20 minutos en empezar a transmitir datos al área de trabajo.
Si no se reciben los registros, ejecute el siguiente script de validación de conectividad:
- Asegúrese de tener Python en la máquina con el siguiente comando: python -version
- Debe tener permisos elevados (sudo) en la máquina.
Ejecute el comando siguiente para validar la conectividad:
sudo wget -O cef_troubleshoot.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/CEF/cef_troubleshoot.py&&sudo python cef_troubleshoot.py {0}
- Proteja la máquina
Asegúrese de configurar la seguridad de la máquina de acuerdo con la directiva de seguridad de su organización.
Pasos siguientes
Para obtener más información, vaya a la solución relacionada en Azure Marketplace.