Share via

Trend Micro TippingPoint-connector voor Microsoft Sentinel

  • Artikel

Met de Trend Micro TippingPoint-connector kunt u eenvoudig uw TippingPoint SMS IPS-gebeurtenissen verbinden met Microsoft Sentinel, dashboards bekijken, aangepaste waarschuwingen maken en onderzoek verbeteren. Dit geeft u meer inzicht in de netwerken/systemen van uw organisatie en verbetert uw mogelijkheden voor beveiliging.

Dit is automatisch gegenereerde inhoud. Neem contact op met de provider van de oplossing voor wijzigingen.

Verbinding maken orkenmerken

Verbinding maken orkenmerk Beschrijving
Log Analytics-tabellen CommonSecurityLog (TrendMicroTippingPoint)
Ondersteuning voor regels voor gegevensverzameling DCR voor werkruimtetransformatie
Ondersteund door Trend Micro

Voorbeelden van query's

TippingPoint IPS-gebeurtenissen


TrendMicroTippingPoint

         
| sort by TimeGenerated

Belangrijkste IPS-gebeurtenissen


TrendMicroTippingPoint

         
| summarize EventCountTotal = sum(EventCount) by DeviceEventClassID, Activity, SimplifiedDeviceAction
         
| sort by EventCountTotal desc

Bovenste bron-IP voor IPS-gebeurtenissen


TrendMicroTippingPoint

         
| summarize EventCountTotal = sum(EventCount) by SourceIP
         
| sort by EventCountTotal desc

Belangrijkste doel-IP voor IPS-gebeurtenissen


TrendMicroTippingPoint

         
| summarize EventCountTotal = sum(EventCount) by DestinationIP
         
| sort by EventCountTotal desc

Installatie-instructies van leverancier

OPMERKING: Deze gegevensconnector is afhankelijk van een parser op basis van een Kusto-functie om te werken zoals verwacht, die wordt geïmplementeerd als onderdeel van de oplossing. Als u de functiecode in Log Analytics wilt weergeven, opent u de blade Log Analytics/Microsoft Sentinel-logboeken, klikt u op Functies en zoekt u naar de alias TrendMicroTippingPoint en laadt u de functiecode of klikt u hier. Het duurt meestal 10-15 minuten voordat de functie wordt geactiveerd na de installatie/update van de oplossing.

  1. Configuratie van Linux Syslog-agent

Installeer en configureer de Linux-agent om uw CEF-berichten (Common Event Format) te verzamelen en door te sturen naar Microsoft Sentinel.

U ziet dat de gegevens uit alle regio's worden opgeslagen in de geselecteerde werkruimte

1.1 Een Linux-machine selecteren of maken

Selecteer of maak een Linux-machine die Door Microsoft Sentinel wordt gebruikt als proxy tussen uw beveiligingsoplossing en Microsoft Sentinel. Deze machine kan zich in uw on-premises omgeving, Azure of andere clouds bevinden.

1.2 Installeer de CEF-collector op de Linux-machine

Installeer de Microsoft Monitoring Agent op uw Linux-computer en configureer de computer om te luisteren op de benodigde poort en berichten door te sturen naar uw Microsoft Sentinel-werkruimte. De CEF-collector verzamelt CEF-berichten op poort 514 TCP.

  1. Zorg ervoor dat u Python op uw computer hebt met behulp van de volgende opdracht: python -version.
  1. U moet verhoogde machtigingen (sudo) hebben op uw computer.

Voer de volgende opdracht uit om de CEF-collector te installeren en toe te passen:

sudo wget -O cef_installer.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/CEF/cef_installer.py&&sudo python cef_installer.py {0} {1}

  1. Trend Micro TippingPoint SMS-logboeken doorsturen naar Syslog-agent

Stel uw TippingPoint SMS in om Syslog-berichten in ArcSight CEF-indeling v4.2-indeling naar de proxycomputer te verzenden. Zorg ervoor dat u de logboeken naar poort 514 TCP verzendt op het IP-adres van de computer.

  1. Verbinding valideren

Volg de instructies om uw connectiviteit te valideren:

Open Log Analytics om te controleren of de logboeken worden ontvangen met behulp van het CommonSecurityLog-schema.

Het kan ongeveer 20 minuten duren voordat de verbinding gegevens naar uw werkruimte streamt.

Als de logboeken niet worden ontvangen, voert u het volgende verbindingsvalidatiescript uit:

  1. Zorg ervoor dat u Python op uw computer hebt met behulp van de volgende opdracht: python -version
  1. U moet verhoogde machtigingen (sudo) hebben op uw computer

Voer de volgende opdracht uit om uw connectiviteit te valideren:

sudo wget -O cef_troubleshoot.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/CEF/cef_troubleshoot.py&&sudo python cef_troubleshoot.py {0}

  1. Uw computer beveiligen

Zorg ervoor dat u de beveiliging van de machine configureert volgens het beveiligingsbeleid van uw organisatie

Meer informatie >

Volgende stappen

Ga naar de gerelateerde oplossing in Azure Marketplace voor meer informatie.