WithSecure Elements via connector for Microsoft Sentinel
A WithSecure Elements egy egységes felhőalapú kiberbiztonsági platform. Ha a WithSecure-elemeket Csatlakozás oron keresztül csatlakoztatja a Microsoft Sentinelhez, a biztonsági események common event format (CEF) formátumban fogadhatók a syslogon keresztül. Az "Elements Csatlakozás or" helyszíni vagy felhőbeli üzembe helyezését igényli. A Common Event Format (CEF) natív keresési és korrelációs, riasztási és fenyegetésintelligencia-bővítést biztosít az egyes adatnaplókhoz.
Ez automatikusan létrehozott tartalom. A módosításokért forduljon a megoldásszolgáltatóhoz.
Csatlakozás or attribútumok
| Csatlakozás or attribútum | Leírás |
|---|---|
| Log Analytics-tábla(ok) | CommonSecurityLog (WithSecure Events) |
| Adatgyűjtési szabályok támogatása | Munkaterület-átalakítás – DCR |
| Támogatja: | WithSecure |
Példák lekérdezésekre
Minden napló
CommonSecurityLog
| where DeviceVendor == "WithSecure™"
| sort by TimeGenerated
Szállító telepítési útmutatója
- Linux Syslog-ügynök konfigurálása
Telepítse és konfigurálja a Linux-ügynököt, hogy összegyűjtse a Common Event Format (CEF) Syslog-üzeneteket, és továbbítsa őket a Microsoft Sentinelnek.
Figyelje meg, hogy az összes régió adatai a kijelölt munkaterületen lesznek tárolva
1.1 Linux-gép kiválasztása vagy létrehozása
Válasszon vagy hozzon létre egy Linux rendszerű gépet, amelyet a Microsoft Sentinel proxyként fog használni a WithSecurity-megoldás és a Sentinel között. A gép lehet helyszíni környezet, Microsoft Azure vagy más felhőalapú.
A Linuxnak rendelkeznie
syslog-ngkell éspython/python3telepítenie kell.
1.2 A CEF-gyűjtő telepítése a Linux-gépen
Telepítse a Microsoft Monitoring Agentet a Linux rendszerű gépére, és konfigurálja a gépet a szükséges port figyelésére, és küldje el az üzeneteket a Microsoft Sentinel-munkaterületre. A CEF-gyűjtő cef-üzeneteket gyűjt az 514-ös TCP-porton.
- Győződjön meg arról, hogy a python a gépén a következő paranccsal van telepítve: python -version.
- Emelt szintű engedélyekkel (sudo) kell rendelkeznie a gépen.
Futtassa a következő parancsot a CEF-gyűjtő telepítéséhez és alkalmazásához:
sudo wget -O cef_installer.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/CEF/cef_installer.py&&sudo python cef_installer.py {0} {1}
Python3 esetén használja az alábbi parancsot:
sudo wget -O cef_installer.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/CEF/cef_installer.py&&sudo python3 cef_installer.py {0} {1}
- Adatok továbbítása a WithSecure Elements Csatlakozás orról a Syslog-ügynöknek
Ez azt ismerteti, hogyan telepítheti és konfigurálhatja az elemeket Csatlakozás or lépésről lépésre.
2.1 Rendelési Csatlakozás or-előfizetés
Ha Csatlakozás or előfizetés még nem lett megrendelve, lépjen az EPP-be az Elements Portalon. Ezután lépjen a Letöltések elemre, és az Elemek Csatlakozás or szakaszban kattintson az "Előfizetési kulcs létrehozása" gombra. Az Előfizetések területen ellenőrizheti az előfizetési kulcsát.
2.2 Csatlakozás or letöltése
Nyissa meg a Letöltések lehetőséget, és a WithSecure Elements Csatlakozás or szakaszban válassza ki a megfelelő telepítőt.
2.3 Felügyeleti API-kulcs létrehozása
Amikor az EPP-ben megnyitja a fiókbeállításokat a jobb felső sarokban. Ezután válassza a Felügyeleti API-kulcs lekérése lehetőséget. Ha a kulcs korábban lett létrehozva, az ott is olvasható.
2.4 A Csatlakozás or telepítése
Az Elements Csatlakozás or telepítéséhez kövesse az Elements Csatlakozás or Docs elemet.
2.5 Eseménytovábbítás konfigurálása
Ha az API-hozzáférés nincs konfigurálva a telepítés során, kövesse az API-hozzáférés konfigurálását az Elements Csatlakozás orhoz. Ezután nyissa meg az EPP-t, majd a Profilok lehetőséget, majd használja a For Csatlakozás or lehetőséget, ahol az összekötőprofilok láthatók. Új profil létrehozása (vagy meglévő, nem írásvédett profil szerkesztése). Az eseménytovábbítás lehetővé teszi. SIEM rendszer címe: 127.0.0.1:514. Állítsa be a formátumot a Common Event Format (Gyakori eseményformátum) értékre. A protokoll TCP. Mentse a profilt, és rendelje hozzá az Elemek Csatlakozás orhoz az Eszközök lapon.
- Kapcsolat ellenőrzése
Kövesse az utasításokat a kapcsolat ellenőrzéséhez:
Nyissa meg a Log Analyticst annak ellenőrzéséhez, hogy a naplók a CommonSecurityLog sémával érkeznek-e.
Ez körülbelül 20 percet vehet igénybe, amíg a kapcsolat adatokat továbbít a munkaterületre.
Ha a naplók nem érkeztek meg, futtassa a következő kapcsolatérvényesítési szkriptet:
- Győződjön meg arról, hogy a számítógépen a Python a következő paranccsal található: python -version
- Emelt szintű engedélyekkel (sudo) kell rendelkeznie a gépen
Futtassa a következő parancsot a kapcsolat ellenőrzéséhez:
sudo wget -O cef_troubleshoot.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/CEF/cef_troubleshoot.py&&sudo python cef_troubleshoot.py {0}
Python3 esetén használja az alábbi parancsot:
sudo wget -O cef_troubleshoot.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/CEF/cef_troubleshoot.py&&sudo python3 cef_troubleshoot.py {0}
- A gép védelme
Győződjön meg arról, hogy a gép biztonságát a szervezet biztonsági szabályzata szerint konfigurálja
Következő lépések
További információ: a kapcsolódó megoldás az Azure Marketplace-en.