Share via

Trend Micro Deep Security-összekötő a Microsoft Sentinelhez

  • Cikk

A Trend Micro Deep Security összekötővel egyszerűen csatlakoztathatja a Deep Security-naplókat a Microsoft Sentinelhez, megtekintheti az irányítópultokat, egyéni riasztásokat hozhat létre, és javíthatja a vizsgálatot. Ez további betekintést nyújt a szervezet hálózataiba/rendszereibe, és javítja a biztonsági üzemeltetési képességeket.

Ez automatikusan létrehozott tartalom. A módosításokért forduljon a megoldásszolgáltatóhoz.

Csatlakozás or attribútumok

Csatlakozás or attribútum Leírás
Kusto függvény URL-címe https://aka.ms/TrendMicroDeepSecurityFunction
Log Analytics-tábla(ok) CommonSecurityLog (TrendMicroDeepSecurity)
Adatgyűjtési szabályok támogatása Munkaterület-átalakítás – DCR
Támogatja: Trend Micro

Példák lekérdezésekre

Behatolás-megelőzési események


TrendMicroDeepSecurity

         
| where DeepSecurityModuleName == "Intrusion Prevention"
         
| sort by TimeGenerated

Integritásfigyelési események


TrendMicroDeepSecurity

         
| where DeepSecurityModuleName == "Integrity Monitoring"
         
| sort by TimeGenerated

Tűzfalesemények


TrendMicroDeepSecurity

         
| where DeepSecurityModuleName == "Firewall Events"
         
| sort by TimeGenerated

Naplóvizsgálati események


TrendMicroDeepSecurity

         
| where DeepSecurityModuleName == "Log Inspection"
         
| sort by TimeGenerated

Kártevőirtó események


TrendMicroDeepSecurity

         
| where DeepSecurityModuleName == "Anti-Malware"
         
| sort by TimeGenerated

Webes hírnév eseményei


TrendMicroDeepSecurity

         
| where DeepSecurityModuleName == "Web Reputation"
         
| sort by TimeGenerated

Szállító telepítési útmutatója

  1. Linux Syslog-ügynök konfigurálása

Telepítse és konfigurálja a Linux-ügynököt, hogy összegyűjtse a Common Event Format (CEF) Syslog-üzeneteket, és továbbítsa őket a Microsoft Sentinelnek.

Figyelje meg, hogy az összes régió adatai a kijelölt munkaterületen lesznek tárolva

1.1 Linux-gép kiválasztása vagy létrehozása

Válasszon vagy hozzon létre egy Linux rendszerű gépet, amelyet a Microsoft Sentinel a biztonsági megoldás és a Microsoft Sentinel közötti proxyként használ, és ez a gép a helyszíni környezetben, az Azure-ban vagy más felhőkben is lehet.

1.2 A CEF-gyűjtő telepítése a Linux-gépen

Telepítse a Microsoft Monitoring Agentet a Linux rendszerű gépére, és konfigurálja a gépet a szükséges port figyelésére, és küldje el az üzeneteket a Microsoft Sentinel-munkaterületre. A CEF-gyűjtő cef-üzeneteket gyűjt az 514-ös TCP-porton.

  1. Győződjön meg arról, hogy a python a gépén a következő paranccsal van telepítve: python -version.
  1. Emelt szintű engedélyekkel (sudo) kell rendelkeznie a gépen.

Futtassa a következő parancsot a CEF-gyűjtő telepítéséhez és alkalmazásához:

sudo wget -O cef_installer.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/CEF/cef_installer.py&&sudo python cef_installer.py {0} {1}

  1. Trend Micro Deep Security-naplók továbbítása a Syslog-ügynöknek

  2. Állítsa be a biztonsági megoldást, hogy CEF formátumban küldjön Syslog-üzeneteket a proxygépnek. Mindenképpen küldje el a naplókat az 514-ös TCP-portra a gép IP-címén.

  3. Trend Micro Deep Security-események továbbítása a Syslog-ügynöknek.

  4. Adjon meg egy új Syslog-konfigurációt, amely a CEF formátumot használja. Ehhez a tudásbáziscikkhez további információt talál.

  5. Konfigurálja a Deep Security Managert úgy, hogy ezzel az új konfigurációval továbbítsa az eseményeket a Syslog-ügynöknek az alábbi utasítások használatával.

  6. Mentse a TrendMicroDeepSecurity függvényt, hogy megfelelően lekérdezhesse a Trend Micro Deep Security adatait.

  7. Kapcsolat ellenőrzése

Kövesse az utasításokat a kapcsolat ellenőrzéséhez:

Nyissa meg a Log Analyticst annak ellenőrzéséhez, hogy a naplók a CommonSecurityLog sémával érkeznek-e.

Ez körülbelül 20 percet vehet igénybe, amíg a kapcsolat adatokat továbbít a munkaterületre.

Ha a naplók nem érkeztek meg, futtassa a következő kapcsolatérvényesítési szkriptet:

  1. Győződjön meg arról, hogy a számítógépen a Python a következő paranccsal található: python -version
  1. Emelt szintű engedélyekkel (sudo) kell rendelkeznie a gépen

Futtassa a következő parancsot a kapcsolat ellenőrzéséhez:

sudo wget -O cef_troubleshoot.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/CEF/cef_troubleshoot.py&&sudo python cef_troubleshoot.py {0}

  1. A gép védelme

Győződjön meg arról, hogy a gép biztonságát a szervezet biztonsági szabályzata szerint konfigurálja

További információ >

Következő lépések

További információ: a kapcsolódó megoldás az Azure Marketplace-en.