Konektor Awake Security untuk Microsoft Azure Sentinel

  • Artikel

Konektor Awake Security CEF memungkinkan pengguna mengirim kecocokan model deteksi dari Platform Keamanan Awake ke Microsoft Sentinel. Remediasi ancaman dengan cepat dengan kekuatan deteksi dan respons jaringan dan percepat penyelidikan dengan visibilitas mendalam terutama ke entitas yang tidak dikelola termasuk pengguna, perangkat, dan aplikasi di jaringan Anda. Konektor juga memungkinkan pembuatan pemberitahuan kustom, insiden, buku kerja, dan buku catatan yang berfokus pada keamanan jaringan yang selaras dengan alur kerja operasi keamanan Yang ada.

Ini adalah konten yang dibuat secara otomatis. Untuk perubahan, hubungi penyedia solusi.

atribut Koneksi or

Atribut konektor Deskripsi
Tabel Log Analytics CommonSecurityLog (AwakeSecurity)
Dukungan aturan pengumpulan data DCR transformasi ruang kerja
Didukung oleh Arista - Sedarlah Keamanan

Kueri sampel

5 Kecocokan Model Adversarial Teratas berdasarkan Tingkat Keparahan

union CommonSecurityLog

| where DeviceVendor == "Arista Networks" and DeviceProduct == "Awake Security"

| summarize  TotalActivities=sum(EventCount) by Activity,LogSeverity

| top 5 by LogSeverity desc

5 Perangkat Teratas berdasarkan Skor Risiko Perangkat

CommonSecurityLog 
| where DeviceVendor == "Arista Networks" and DeviceProduct == "Awake Security" 
| extend DeviceCustomNumber1 = coalesce(column_ifexists("FieldDeviceCustomNumber1", long(null)), DeviceCustomNumber1, long(null)) 
| summarize MaxDeviceRiskScore=max(DeviceCustomNumber1),TimesAlerted=count() by SourceHostName=coalesce(SourceHostName,"Unknown") 
| top 5 by MaxDeviceRiskScore desc

Instruksi penginstalan vendor

  1. Konfigurasi agen Syslog Linux

Instal dan konfigurasikan agen Linux untuk mengumpulkan pesan Syslog Common Event Format (CEF) Anda dan teruskan ke Microsoft Sentinel.

Perhatikan bahwa data dari semua wilayah akan disimpan di ruang kerja yang dipilih

1.1 Memilih atau membuat komputer Linux

Pilih atau buat komputer Linux yang akan digunakan Microsoft Azure Sentinel sebagai proksi antara solusi keamanan Anda dan Microsoft Sentinel komputer ini dapat berada di lingkungan lokal Anda, Azure, atau cloud lainnya.

1.2 Menginstal kolektor CEF pada komputer Linux

Instal Microsoft Monitoring Agent di komputer Linux Anda dan konfigurasikan komputer untuk mendengarkan port yang diperlukan dan meneruskan pesan ke ruang kerja Microsoft Azure Sentinel Anda. Kolektor CEF mengumpulkan pesan CEF pada port 514 TCP.

  1. Pastikan Anda memiliki Python di komputer Anda menggunakan perintah berikut: python -version.
  1. Anda harus memiliki izin yang lebih tinggi (sudo) pada mesin Anda.

Jalankan perintah berikut untuk menginstal dan menerapkan pengumpul CEF:

sudo wget -O cef_installer.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/CEF/cef_installer.py&&sudo python cef_installer.py {0} {1}

  1. Meneruskan hasil pencocokan Model Adversarial Awake ke kolektor CEF.

Lakukan langkah-langkah berikut untuk meneruskan hasil kecocokan Model Adversarial Awake ke kolektor CEF yang mendengarkan di port TCP 514 di IP 192.168.0.1:

  • Navigasi ke halaman Keterampilan Manajemen Deteksi di Antarmuka Pengguna Awake.
  • Klik + Tambahkan Keterampilan Baru.
  • Atur bidang Ekspresi ke,

integrations.cef.tcp { destination: "192.168.0.1", port: 514, secure: false, severity: Warning }

  • Atur bidang Judul ke nama deskriptif seperti,

Meneruskan hasil pencocokan Model Adversarial Awake ke Microsoft Azure Sentinel.

  • Atur Pengidentifikasi Referensi ke sesuatu yang mudah ditemukan seperti,

integrations.cef.sentinel-forwarder

  • Klik Simpan.

Catatan: Dalam beberapa menit setelah menyimpan definisi dan bidang lain, sistem akan mulai mengirim hasil kecocokan model baru ke kolektor peristiwa CEF saat terdeteksi.

Untuk informasi selengkapnya, lihat halaman Menambahkan Informasi Keamanan dan Integrasi Push Manajemen Peristiwa dari Dokumentasi Bantuan di Antarmuka Pengguna Awake.

  1. Validasi koneksi

Ikuti instruksi untuk memvalidasi konektivitas Anda:

Buka Analitik Log untuk memeriksa apakah log diterima menggunakan skema CommonSecurityLog.

Mungkin perlu waktu sekitar 20 menit hingga koneksi mengalirkan data ke ruang kerja Anda.

Jika log tidak diterima, jalankan skrip validasi konektivitas berikut:

  1. Pastikan Anda memiliki Python di komputer Anda menggunakan perintah berikut: python -version
  1. Anda harus memiliki izin yang ditingkatkan (sudo) pada komputer Anda

Jalankan perintah berikut untuk memvalidasi konektivitas Anda:

sudo wget -O cef_troubleshoot.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/CEF/cef_troubleshoot.py&&sudo python cef_troubleshoot.py {0}

  1. Mengamankan komputer Anda

Pastikan untuk mengonfigurasi keamanan komputer sesuai dengan kebijakan keamanan organisasi Anda

Pelajari selengkapnya>

Langkah berikutnya

Untuk informasi selengkapnya, buka solusi terkait di Marketplace Azure.