Microsoft Sentinel 用 [非推奨] レガシ エージェント経由 Aruba ClearPass コネクタ

  • [アーティクル]

Aruba ClearPass コネクタを使用すると、Aruba ClearPass を Microsoft Sentinel と簡単に接続して、カスタム ダッシュボードとアラートを作成し、調査を改善できます。 これにより、組織のネットワークに関するより詳しい分析情報が得られ、セキュリティ運用機能が向上します。

コネクタの属性

コネクタ属性 説明
Log Analytics テーブル CommonSecurityLog (ArubaClearPass)
データ収集ルールのサポート ワークスペース変換 DCR
サポートしているもの Microsoft Corporation

クエリのサンプル

ユーザー名別の上位 10 件のイベント

ArubaClearPass 

| summarize count() by UserName 

| top 10 by count_

上位 10 件のエラー コード

ArubaClearPass 

| summarize count() by ErrorCode 

| top 10 by count_

ベンダーのインストール手順

メモ: このデータ コネクタは、Kusto 関数に基づくパーサーに依存し、ソリューションの一部としてデプロイされる想定どおりに動作します。 Log Analytics の関数コードを表示するには、Log Analytics で [Microsoft Sentinel Logs] ブレードを開き、[関数] をクリックし、エイリアス「ArubaClearPass」を検索して関数コードを読み込む、またはこちらをクリックします。ソリューションをインストールまたは更新してから、関数がアクティブ化されるまでに通常は 10 から 15 分かかります。

  1. Linux Syslog エージェントの構成

Linux エージェントをインストールし、Common Event Format (CEF) Syslog メッセージを収集して Microsoft Sentinel に転送するようにエージェントを構成します。

すべてのリージョンのデータが選択したワークスペースに格納されることに注目してください

1.1 Linux コンピューターを選択または作成する

Microsoft Sentinel によって、セキュリティ ソリューションと Microsoft Sentinel の間のプロキシとして使用される Linux コンピューターを選択または作成します。このコンピューターは、オンプレミス環境、Azure またはその他のクラウド上に配置することができます。

1.2 Linux コンピューターに CEF コレクターをインストールする

Linux コンピューターに Microsoft Monitoring Agent をインストールし、必要なポートでリッスンして Microsoft Sentinel ワークスペースにメッセージを転送するようにコンピューターを構成します。 CEF コレクターにより、ポート 514 TCP で CEF メッセージが収集されます。

  1. コマンド python -version を使用して、コンピューターに Python がインストールされていることを確認します。
  1. マシンに対する管理者特権のアクセス許可 (sudo) が必要です。

次のコマンドを実行し、CEF コレクターをインストールして適用します。

sudo wget -O cef_installer.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/CEF/cef_installer.py&&sudo python cef_installer.py {0} {1}

  1. Aruba ClearPass ログを Syslog エージェントに転送する

Syslog エージェントを介して CEF 形式の Syslog メッセージを Microsoft Sentinel ワークスペースに転送するように Aruba ClearPass を構成します。

  1. こちらの指示に従って、Syslog を転送するように Aruba ClearPass を構成します。

  2. Linux エージェントがインストールされている Linux デバイスの IP アドレスまたはホスト名を接続先 IP アドレスとして使用します。

  3. 接続の検証

手順に従って接続を検証します。

Log Analytics を開き、CommonSecurityLog スキーマを使用してログが受信されているかどうかを確認します。

接続によってデータがワークスペースにストリーミングされるまで約 20 分かかる場合があります。

ログが受信されない場合は、次の接続検証スクリプトを実行します。

  1. コマンド python -version を使用して、コンピューターに Python がインストールされていることを確認します
  1. コンピューターに対する管理者特権のアクセス許可 (sudo) が必要です

次のコマンドを実行して、接続を検証します。

sudo wget -O cef_troubleshoot.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/CEF/cef_troubleshoot.py&&sudo python cef_troubleshoot.py {0}

  1. コンピューターをセキュリティで保護する

必ず、組織のセキュリティ ポリシーに従ってコンピューターのセキュリティを構成してください

詳細情報 >

次の手順

詳細については、Azure Marketplace の関連ソリューションに関するページを参照してください。