Wakkere beveiligingsconnector voor Microsoft Sentinel
Met de Cef-connector voor wakkere beveiliging kunnen gebruikers detectiemodelovereenkomsten van het Awake Security Platform verzenden naar Microsoft Sentinel. Herstel bedreigingen snel met de kracht van netwerkdetectie en -reactie en versnellen onderzoeken met een grondige zichtbaarheid, met name in niet-beheerde entiteiten, waaronder gebruikers, apparaten en toepassingen in uw netwerk. Met de connector kunt u ook aangepaste waarschuwingen, incidenten, werkmappen en notebooks maken die zijn afgestemd op uw bestaande werkstromen voor beveiligingsactiviteiten.
Dit is automatisch gegenereerde inhoud. Neem contact op met de provider van de oplossing voor wijzigingen.
Verbinding maken orkenmerken
| Verbinding maken orkenmerk | Beschrijving |
|---|---|
| Log Analytics-tabellen | CommonSecurityLog (AwakeSecurity) |
| Ondersteuning voor regels voor gegevensverzameling | DCR voor werkruimtetransformatie |
| Ondersteund door | Arista - Wakkere beveiliging |
Voorbeelden van query's
Top 5 adversarial modelovereenkomsten op ernst
union CommonSecurityLog
| where DeviceVendor == "Arista Networks" and DeviceProduct == "Awake Security"
| summarize TotalActivities=sum(EventCount) by Activity,LogSeverity
| top 5 by LogSeverity desc
Top 5 apparaten op apparaatrisicoscore
CommonSecurityLog
| where DeviceVendor == "Arista Networks" and DeviceProduct == "Awake Security"
| extend DeviceCustomNumber1 = coalesce(column_ifexists("FieldDeviceCustomNumber1", long(null)), DeviceCustomNumber1, long(null))
| summarize MaxDeviceRiskScore=max(DeviceCustomNumber1),TimesAlerted=count() by SourceHostName=coalesce(SourceHostName,"Unknown")
| top 5 by MaxDeviceRiskScore desc
Installatie-instructies van leverancier
- Configuratie van Linux Syslog-agent
Installeer en configureer de Linux-agent om uw CEF-berichten (Common Event Format) te verzamelen en door te sturen naar Microsoft Sentinel.
U ziet dat de gegevens uit alle regio's worden opgeslagen in de geselecteerde werkruimte
1.1 Een Linux-machine selecteren of maken
Selecteer of maak een Linux-machine die Door Microsoft Sentinel wordt gebruikt als proxy tussen uw beveiligingsoplossing en Microsoft Sentinel. Deze machine kan zich in uw on-premises omgeving, Azure of andere clouds bevinden.
1.2 Installeer de CEF-collector op de Linux-machine
Installeer de Microsoft Monitoring Agent op uw Linux-computer en configureer de computer om te luisteren op de benodigde poort en berichten door te sturen naar uw Microsoft Sentinel-werkruimte. De CEF-collector verzamelt CEF-berichten op poort 514 TCP.
- Zorg ervoor dat u Python op uw computer hebt met behulp van de volgende opdracht: python -version.
- U moet verhoogde machtigingen (sudo) hebben op uw computer.
Voer de volgende opdracht uit om de CEF-collector te installeren en toe te passen:
sudo wget -O cef_installer.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/CEF/cef_installer.py&&sudo python cef_installer.py {0} {1}
- Forward Awake Adversarial Model match results to a CEF collector.
Voer de volgende stappen uit om Awake Adversarial Model-resultaten door te sturen naar een CEF-collector die luistert op TCP-poort 514 op IP 192.168.0.1:
- Navigeer naar de pagina Detectiebeheervaardigheden in de gebruikersinterface wakker.
- Klik op + Nieuwe vaardigheid toevoegen.
- Stel het expressieveld in op:
integrations.cef.tcp { destination: "192.168.0.1", poort: 514, beveiligd: false, ernst: Warning }
- Stel het veld Titel in op een beschrijvende naam, zoals:
Forward Awake Adversarial Model match result to Microsoft Sentinel.
- Stel de referentie-id in op iets dat gemakkelijk kan worden gedetecteerd, zoals:
integrations.cef.sentinel-forwarder
- Klik op Opslaan.
Opmerking: Binnen een paar minuten nadat de definitie en andere velden zijn opgeslagen, begint het systeem met het verzenden van resultaten van een nieuwe modelovereenkomst naar de CEF-gebeurtenisverzamelaar wanneer deze worden gedetecteerd.
Raadpleeg de pagina Een push-integratie voor beveiligingsinformatie en gebeurtenisbeheer toevoegen vanuit de Help-documentatie in de Wakkere gebruikersinterface voor meer informatie.
- Verbinding valideren
Volg de instructies om uw connectiviteit te valideren:
Open Log Analytics om te controleren of de logboeken worden ontvangen met behulp van het CommonSecurityLog-schema.
Het kan ongeveer 20 minuten duren voordat de verbinding gegevens naar uw werkruimte streamt.
Als de logboeken niet worden ontvangen, voert u het volgende verbindingsvalidatiescript uit:
- Zorg ervoor dat u Python op uw computer hebt met behulp van de volgende opdracht: python -version
- U moet verhoogde machtigingen (sudo) hebben op uw computer
Voer de volgende opdracht uit om uw connectiviteit te valideren:
sudo wget -O cef_troubleshoot.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/CEF/cef_troubleshoot.py&&sudo python cef_troubleshoot.py {0}
- Uw computer beveiligen
Zorg ervoor dat u de beveiliging van de machine configureert volgens het beveiligingsbeleid van uw organisatie
Volgende stappen
Ga naar de gerelateerde oplossing in Azure Marketplace voor meer informatie.