Uw Microsoft Sentinel-gegevensconnector zoeken

In dit artikel wordt beschreven hoe u gegevensconnectoren implementeert in Microsoft Sentinel, met een overzicht van alle ondersteunde, out-of-the-box gegevensconnectoren, samen met koppelingen naar algemene implementatieprocedures en extra stappen die vereist zijn voor specifieke connectors.

Het gebruik van deze handleiding

1. Zoek en selecteer eerst de connector voor uw product, service of apparaat in het menu met koppen aan de rechterkant.

   Het eerste stukje informatie dat u voor elke connector ziet, is de gegevens opnamemethode. De methode die wordt weergegeven, bevat een koppeling naar een van de volgende algemene implementatieprocedures, die de meeste informatie bevatten die u nodig hebt om uw gegevensbronnen te verbinden met Microsoft Sentinel:

   Methode voor gegevens opname	Gekoppeld artikel met instructies
   Azure-service-naar-service-integratie	Verbinding maken azure-, Windows-, Microsoft- en Amazon-services
   Common Event Format (CEF) via Syslog	Logboeken met CEF-indeling van uw apparaat of apparaat in Microsoft Sentinel krijgen
   Microsoft Sentinel-gegevensverzamelaar-API	Verbinding maken gegevensbron naar de Microsoft Sentinel-gegevensverzamelaar-API om gegevens op te nemen
   Azure Functions en de REST API	Gebruik Azure Functions om Microsoft Sentinel te verbinden met uw gegevensbron
   Syslog	Gegevens verzamelen van Linux-bronnen met behulp van Syslog
   Aangepaste logboeken	Gegevens in aangepaste logboekindelingen verzamelen voor Microsoft Sentinel met de Log Analytics-agent

   Notitie

   De azure-service-naar-service-integratiemethode voor gegevens opnemen bevat koppelingen naar drie verschillende secties van het artikel, afhankelijk van het connectortype. In de onderstaande sectie van elke connector wordt de sectie in dat artikel opgegeven waar deze aan is koppelingen.

2. Wanneer u een specifieke connector implementeert, kiest u het juiste artikel dat is gekoppeld aan de gegevens opnamemethode en gebruikt u de informatie en extra richtlijnen in de relevante sectie hieronder als aanvulling op de informatie in dat artikel.

Agari Phishing Defense and Brand Protection (preview)

De Security Graph-API inschakelen (optioneel)

Met de Agari Function-app kunt u bedreigingsinformatie delen met Microsoft Sentinel via de Security Graph API. Als u deze functie wilt gebruiken, moet u de connector Sentinel Threat Intelligence Platforms inschakelen en ook een toepassing registreren in Azure Active Directory.

Dit proces geeft u drie soorten informatie voor gebruik bij het implementeren van de functie-app:de Graph-tenant-id, de client-id van de Graph en het Graph-clientgeheim (zie de toepassingsinstellingen in de bovenstaande tabel).

De benodigde machtigingen toewijzen aan uw functie-app

De Agari-connector gebruikt een omgevingsvariabele voor het opslaan van tijdstempels voor logboektoegang. Als u wilt dat de toepassing naar deze variabele schrijft, moeten machtigingen worden toegewezen aan de door het systeem toegewezen identiteit.

1. Navigeer in Azure Portal naar Functie-app.
2. Selecteer op de pagina Functie-app uw functie-app in de lijst en selecteer vervolgens Identiteit onder Instellingen in het navigatiemenu van de functie-app.
3. Stel op het tabblad Systeem toegewezen de Status in op Aan.
4. Selecteer Opslaan en er wordt een knop Azure-roltoewijzingen weergegeven. Selecteer deze.
5. Selecteer in het scherm Azure-roltoewijzingen de optie Roltoewijzing toevoegen. Stel Bereik in op Abonnement, selecteer uw abonnement in de vervolgkeuzeset Abonnement en stel Rol in op App Configuration Eigenaar van gegevens.
6. Selecteer Opslaan.

AI-analist (AIA) door Darktrace (preview)

CeF-logboek doorsturen configureren voor AI-analist

Configureer Darktrace om Syslog-berichten in CEF-indeling door te sturen naar uw Azure-werkruimte via de Log Analytics-agent.

1. Navigeer in Darktrace Threat Visualizer naar de pagina Systeem config in het hoofdmenu onder Admin.
2. Selecteer modules in het menu aan de linkerkant en kies Microsoft Sentinel in de beschikbare werkstroomintegraties.
3. Er wordt een configuratievenster geopend. Zoek Microsoft Sentinel Syslog CEF en selecteer Nieuw om de configuratie-instellingen weer te geven, tenzij deze al beschikbaar zijn.
4. Voer in het veld Serverconfiguratie de locatie van de doorsturende logboekserver in en wijzig eventueel de communicatiepoort. Zorg ervoor dat de geselecteerde poort is ingesteld op 514 en is toegestaan door eventuele tussenliggende firewalls.
5. Configureer indien nodig eventuele waarschuwingsdrempels, tijdsinstellingen of extra instellingen.
6. Bekijk eventuele extra configuratieopties die u mogelijk wilt inschakelen om de Syslog-syntaxis te wijzigen.
7. Schakel Waarschuwingen verzenden in en sla uw wijzigingen op.

AI Vectra Detect (preview)

CeF-logboek doorsturen configureren voor AI Vectra Detect

Configureer de Vectra-agent (X-serie) om Syslog-berichten in CEF-indeling door te sturen naar uw Microsoft Sentinel-werkruimte via de Log Analytics-agent.

Navigeer vanuit de Vectra-interface Instellingen > meldingen en kies Syslog-configuratie bewerken. Volg de onderstaande instructies om de verbinding in te stellen:

• Een nieuwe bestemming toevoegen (de hostnaam van de logboek doorsturen)
• Stel poort in op 514
• Stel het Protocol in op UDP
• Stel de indeling in op CEF
• Logboektypen instellen (selecteer alle beschikbare logboektypen)
• Selecteer Opslaan

U kunt de knop Testen selecteren om het verzenden van een aantal testgebeurtenissen naar de logboek doorsturen af te dwingen.

Zie de Cognito Detect Syslog Guide (Handleiding voor Cognito Detect Syslog) die u kunt downloaden van de resourcepagina in Detect UI voor meer informatie.

Akamai Security Events (preview)

Alcide kAudit

Alsid voor Active Directory

Extra configuratie voor Alsid

1. De Syslog-server configureren

   U hebt eerst een Linux Syslog-server nodig waar Alsid voor AD logboeken naar verzendt. Normaal gesproken kunt u rsyslog uitvoeren op Ubuntu.

   U kunt deze server vervolgens configureren zoals u wilt, maar we raden u aan afAD-logboeken uit te geven in een afzonderlijk bestand. U kunt ook een quickstart-sjabloon gebruiken om de Syslog-server en de Microsoft-agent voor u te implementeren. Als u de sjabloon gebruikt, kunt u de installatie-instructies voor de agent overslaan.

2. Alsid configureren voor het verzenden van logboeken naar uw Syslog-server

   Ga in de Alsid voor AD-portal naar Systeem, Configuratie en vervolgens naar Syslog. Hier kunt u een nieuwe Syslog-waarschuwing voor uw Syslog-server maken.

   Nadat u een nieuwe Syslog-waarschuwing hebt gemaakt, controleert u of de logboeken correct zijn verzameld op uw server in een afzonderlijk bestand. Als u bijvoorbeeld uw logboeken wilt controleren, kunt u de knop De configuratie testen gebruiken in de configuratie van de Syslog-waarschuwing in AFAD. Als u de quickstart-sjabloon hebt gebruikt, luistert de Syslog-server standaard op poort 514 in UDP en 1514 in TCP, zonder TLS.

Amazon Web Services

Amazon Web Services S3 (preview)

Apache HTTP Server

Apache Tomcat

ClearPass (preview)

Atlassian Confluence Audit (preview)

Atlassian Jira Audit (preview)

Azure Active Directory

Azure Active Directory Identity Protection

Azure-activiteit

Upgraden naar de nieuwe Azure Activity-connector

Wijzigingen in gegevensstructuur

Deze connector heeft onlangs het back-endmechanisme voor het verzamelen van activiteitenlogboekgebeurtenissen gewijzigd. De pijplijn voor diagnostische instellingen wordt nu gebruikt. Als u nog steeds de verouderde methode voor deze connector gebruikt, wordt u ten zeerste aangeraden om een upgrade uit te voeren naar de nieuwe versie. Dit biedt betere functionaliteit en meer consistentie met resourcelogboeken. Zie de onderstaande instructies.

De methode voor diagnostische instellingen verzendt dezelfde gegevens als de verouderde methode die is verzonden vanuit de activiteitenlogboekservice, hoewel er enkele wijzigingen zijn aangebracht in de structuur van de tabel AzureActivity.

Hier zijn enkele van de belangrijkste verbeteringen die het gevolg zijn van de overstap naar de pijplijn voor diagnostische instellingen:

• Verbeterde opnamelatentie (opname van gebeurtenissen binnen 2-3 minuten na het optreden in plaats van 15-20 minuten).
• Verbeterde betrouwbaarheid.
• Verbeterde prestaties.
• Ondersteuning voor alle categorieën gebeurtenissen die zijn geregistreerd door de activiteitenlogboekservice (het verouderde mechanisme ondersteunt alleen een subset, bijvoorbeeld geen ondersteuning voor Service Health gebeurtenissen).
• Beheer op schaal met Azure Policy.

Zie de Azure Monitor voor een uitgebreidere behandeling van het Azure-activiteitenlogboek en de pijplijn voor diagnostische instellingen.

Verbinding met oude pijplijn verbreken

Voordat u de nieuwe Connector voor Azure-activiteitenlogboek instelt, moet u de bestaande abonnementen loskoppelen van de verouderde methode.

1. Selecteer gegevensconnectoren in het navigatiemenu van Microsoft Sentinel. Selecteer in de lijst met connectors Azure-activiteit en selecteer vervolgens rechtsbeneden de knop Connector openen.

2. Controleer op het tabblad Instructies in de sectie Configuratie in stap 1 de lijst met bestaande abonnementen die zijn verbonden met de verouderde methode (zodat u weet welke u aan de nieuwe moet toevoegen) en verbreking ze allemaal in één keer door op de knop Alles verbreken te klikken.

3. Ga door met het instellen van de nieuwe connector met de instructies in de bovenstaande tabel.

Azure DDoS Protection

Microsoft Defender for Cloud

Microsoft Defender for IoT

Azure Firewall

Azure Information Protection

Zie de documentatie Azure Information Protection meer informatie.

Azure Key Vault

Azure Kubernetes Service (AKS)

Azure SQL Databases

Azure Storage-account

Opmerkingen over configuratie van diagnostische instellingen voor opslagaccounts

De resource van het opslagaccount (bovenliggend) heeft andere (onderliggende) resources voor elk type opslag: bestanden, tabellen, wachtrijen en blobs.

Wanneer u diagnostische gegevens configureert voor een opslagaccount, moet u op zijn beurt het volgende selecteren en configureren:

• De resource van het bovenliggende account, die de metrische gegevens voor transactie exporteert.
• Elk van de onderliggende resources van het opslagtype, die alle logboeken en metrische gegevens exporteert (zie de bovenstaande tabel).

U ziet alleen de opslagtypen waar u daadwerkelijk resources voor hebt gedefinieerd.

Azure Web Application Firewall (WAF)

Barracuda CloudGen-firewall

Barracuda WAF

BETTER Mobile Threat Defense (MTD) (preview)

Meer dan beveiliging beSECURE

BlackBerry CylancePROTECT (preview)

Broadcom Symantec Data Loss Prevention (DLP) (preview)

Check Point

Cisco ASA

Cisco Firepower eStreamer (preview)

Extra configuratie voor Cisco Firepower eStreamer

1. De Firepower eNcore-client installeren
   Installeer en configureer de Firepower eNcore eStreamer-client. Zie de volledige Cisco-installatiehandleiding voor meer informatie.

2. Download de Firepower-connector via GitHub
   Download de nieuwste versie van de Firepower eNcore-connector voor Microsoft Sentinel vanuit de Cisco GitHub-opslagplaats. Als u van plan bent python3 te gebruiken, gebruikt u de python3 eStreamer-connector.

3. Een pkcs12-bestand maken met behulp van het IP-adres van de Azure-/VM
   Maak een pkcs12-certificaat met behulp van het openbare IP-adres van het VM-exemplaar in Firepower onder System > Integration > eStreamer. Zie de installatiehandleiding voor meer informatie.

4. De connectiviteit tussen de Azure-/VM-client en FMC testen
   Kopieer het pkcs12-bestand van de FMC naar het Azure/VM-exemplaar en voer het testprogramma (./encore.sh test) uit om te controleren of er een verbinding tot stand kan worden gebracht. Zie de installatiehandleiding voor meer informatie.

5. eNcore configureren om gegevens naar de agent te streamen
   Configureer eNcore om gegevens via TCP te streamen naar de Log Analytics-agent. Deze configuratie moet standaard worden ingeschakeld, maar er kunnen extra poorten en streamingprotocollen worden geconfigureerd, afhankelijk van uw netwerkbeveiligingsstatus. Het is ook mogelijk om de gegevens op te slaan in het bestandssysteem. Zie eNcoreconfigureren voor meer informatie.

Cisco Meraki (preview)

Cisco Umbrella (preview)

Cisco Unified Computing System (UCS) (preview)

Citrix Analytics (Security)

Citrix Web App Firewall (WAF) (preview)

Cognni (preview)

Continue bedreigingsbewaking voor SAP (preview)

Gebeurtenissen van CyberArk Enterprise Password Vault (EPV) (preview)

Cyberpion-beveiligingslogboeken (preview)

DNS (preview)

Zie Windows DNS-server (preview).

Dynamics 365

ESET Enterprise Inspector (preview)

Een API-gebruiker maken

1. Meld u met een beheerdersaccount aan bij de ESET Security Management Center/ESET PROTECT-console, selecteer het tabblad Meer en het subtab Gebruikers.
2. Selecteer de knop ADD NEW en voeg een native gebruiker toe.
3. Maak een nieuwe gebruiker voor het API-account. Optionele: Selecteer een andere startgroep dan Alle om te beperken welke detecties worden opgenomen.
4. Wijs op het tabblad Machtigingensets de machtigingenset voor de revisor van Enterprise Inspector toe.
5. Meld u af bij het beheerdersaccount en meld u aan bij de console met de nieuwe API-referenties voor validatie en meld u vervolgens af bij het API-account.

ESET Security Management Center (SMC) (preview)

De ESET SMC-logboeken configureren die moeten worden verzameld

Configureer rsyslog om logboeken te accepteren van het IP-adres van uw Eset SMC.

    sudo -i
    # Set ESET SMC source IP address
    export ESETIP={Enter your IP address}

    # Create rsyslog configuration file
    cat > /etc/rsyslog.d/80-remote.conf << EOF
    \$ModLoad imudp
    \$UDPServerRun 514
    \$ModLoad imtcp
    \$InputTCPServerRun 514
    \$AllowedSender TCP, 127.0.0.1, $ESETIP
    \$AllowedSender UDP, 127.0.0.1, $ESETIP user.=alert;user.=crit;user.=debug;user.=emerg;user.=err;user.=info;user.=notice;user.=warning  @127.0.0.1:25224
    EOF

    # Restart rsyslog
    systemctl restart rsyslog

OMS-agent configureren om Eset SMC-gegevens door te geven in API-indeling

Als u eenvoudig Eset-gegevens wilt herkennen, pusht u deze naar een afzonderlijke tabel en parseert u deze op agent om uw Microsoft Sentinel-query te vereenvoudigen en te versnellen.

Wijzig in het bestand /etc/opt/microsoft/omsagent/{REPLACEyourworkspaceid}/conf/omsagent.conf de sectie om gegevens te verzenden als API-objecten door het type te wijzigen match oms.** in out_oms_api .

De volgende code is een voorbeeld van de volledige match oms.** sectie:

    <match oms.** docker.**>
      type out_oms_api
      log_level info
      num_threads 5
      run_in_background false

      omsadmin_conf_path /etc/opt/microsoft/omsagent/{REPLACEyourworkspaceid}/conf/omsadmin.conf
      cert_path /etc/opt/microsoft/omsagent/{REPLACEyourworkspaceid}/certs/oms.crt
      key_path /etc/opt/microsoft/omsagent/{REPLACEyourworkspaceid}/certs/oms.key

      buffer_chunk_limit 15m
      buffer_type file
      buffer_path /var/opt/microsoft/omsagent/{REPLACEyourworkspaceid}/state/out_oms_common*.buffer

      buffer_queue_limit 10
      buffer_queue_full_action drop_oldest_chunk
      flush_interval 20s
      retry_limit 10
      retry_wait 30s
      max_retry_wait 9m
    </match>

De configuratie van de OMS-agent wijzigen om de tag oms.api.eset te ondervangen en gestructureerde gegevens te parseren

Wijzig het bestand /etc/opt/microsoft/omsagent/{REPLACEyourworkspaceid}/conf/omsagent.d/syslog.conf.

Bijvoorbeeld:

    <source>
      type syslog
      port 25224
      bind 127.0.0.1
      protocol_type udp
      tag oms.api.eset
    </source>

    <filter oms.api.**>
      @type parser
      key_name message
      format /(?<message>.*?{.*})/
    </filter>

    <filter oms.api.**>
      @type parser
      key_name message
      format json
    </filter>

Automatische configuratie uitschakelen en agent opnieuw opstarten

Bijvoorbeeld:

    # Disable changes to configuration files from Portal
    sudo su omsagent -c 'python /opt/microsoft/omsconfig/Scripts/OMS_MetaConfigHelper.py --disable'

    # Restart agent
    sudo /opt/microsoft/omsagent/bin/service_control restart

    # Check agent logs
    tail -f /var/opt/microsoft/omsagent/log/omsagent.log

Eset SMC configureren voor het verzenden van logboeken naar connector

Eset-logboeken configureren met behulp van BSD-stijl en JSON-indeling.

• Ga naar de Syslog-serverconfiguratie voor het configureren van de Host (uw connector), BSD formatteren en TCP transporteren
• Ga naar de sectie Logboekregistratie en schakel JSON in

Zie de Eset-documentatie voor meer informatie.

Exabeam Advanced Analytics (preview)

ExtraHop Reveal(x)

F5 BIG-IP

F5 Networks (ASM)

Forcepoint Cloud Access Security Broker (CASB) (preview)

Forcepoint Cloud Security Gateway (CSG) (preview)

Forcepoint Data Loss Prevention (DLP) (preview)

Forcepoint Next Generation Firewall (NGFW) (preview)

ForgeRock Common Audit (CAUD) voor CEF (preview)

Fortinet

Fortinet-logboeken verzenden naar de doorsturende logboeken

Open de CLI op uw Fortinet-apparaat en voer de volgende opdrachten uit:

config log syslogd setting
set status enable
set format cef
set port 514
set server <ip_address_of_Forwarder>
end

• Vervang het IP-adres van de server door het IP-adres van de doorsturende logboekserver.
• Stel de syslog-poort in op 514 of de poort die is ingesteld op de Syslog-daemon op de doorsturende poort.
• Als u CEF-indeling in vroege FortiOS-versies wilt inschakelen, moet u mogelijk de opdrachtset CSV uitschakelen uitvoeren.

Google-werkruimte (G-Suite) (preview)

Extra configuratie voor de Google Reports-API

Voeg http://localhost:8081/ toe onder Geautoriseerde omleidings-URI's tijdens het maken van webtoepassingsreferenties.

1. Volg de instructies voor het verkrijgen van de credentials.json.
2. Voer dit Python-script uit (in hetzelfde pad als credentials.json) om de Google pickle-tekenreeks op te halen.
3. Kopieer de uitvoer van de pickle-tekenreeks tussen enkele aanhalingstekens en sla deze op. Deze is nodig voor het implementeren van de functie-app.

Illusive Attack Management System (AMS) (preview)

Imperva WAF-gateway (preview)

Infoblox Network Identity Operating System (NIOS) (preview)

Juniper SRX (preview)

Lookout Mobile Threat Defense (preview)

Microsoft 365 Defender

Microsoft 365 Insider Risk Management (IRM) (preview)

Microsoft Defender for Cloud Apps

Microsoft Defender voor Eindpunten

Microsoft Defender for Identity

Microsoft Defender for Office 365

Microsoft Office 365

Morphisec UTPP (preview)

Netskope (preview)

NGINX HTTP Server (preview)

NXLog Basic Security Module (BSM) macOS (preview)

NXLog DNS-logboeken (preview)

NXLog LinuxAudit (preview)

Okta Single Sign-On (preview)

Onapsis Platform (preview)

Onapsis configureren voor het verzenden van CEF-logboeken naar de doorsturen van logboeken

Raadpleeg de Help bij Onapsis in het product voor het instellen van doorsturen van logboeken naar de Log Analytics-agent.

1. Ga naar Setup > Third-party integrations > Defend Alarms en volg de instructies voor Microsoft Sentinel.
2. Zorg ervoor dat de Onapsis-console de computer van de doorsturen van logboeken kan bereiken waarop de agent is geïnstalleerd. Logboeken moeten worden verzonden naar poort 514 met behulp van TCP.

One Identity Safeguard (preview)

Oracle WebLogic Server (preview)

Orca-beveiliging (preview)

OSSEC (preview)

Palo Alto Networks

Perimeter 81-activiteitenlogboeken (preview)

Proofpoint On Demand-e-mailbeveiliging (POD) (preview)

Proofpoint Targeted Attack Protection (TAP) (preview)

Pulse Verbinding maken Secure (preview)

Qualys VM KnowledgeBase (KB) (preview)

Extra configuratie voor de Qualys VM KB

1. Meld u met een beheerdersaccount aan bij de Qualys Vulnerability Management-console, selecteer het tabblad Gebruikers en het subtab gebruikers.
2. Selecteer de vervolgkeuzelijst Nieuw en selecteer Gebruikers.
3. Maak een gebruikersnaam en wachtwoord voor het API-account.
4. Zorg ervoor dat op het tabblad Gebruikersrollen de accountrol is ingesteld op Manager en dat toegang tot gui en API is toegestaan
5. Meld u af bij het beheerdersaccount en meld u aan bij de console met de nieuwe API-referenties voor validatie en meld u vervolgens af bij het API-account.
6. Meld u met een beheerdersaccount opnieuw aan bij de console en wijzig de gebruikersrollen van de API-accounts, waardoor de toegang tot gui wordt verwijderd.
7. Sla alle wijzigingen op.

Qualys Vulnerability Management (VM) (preview)

Extra configuratie voor de Qualys-VM

1. Meld u met een beheerdersaccount aan bij de Qualys Vulnerability Management-console, selecteer het tabblad Gebruikers en het subtab gebruikers.
2. Selecteer de vervolgkeuzelijst Nieuw en selecteer Gebruikers.
3. Maak een gebruikersnaam en wachtwoord voor het API-account.
4. Zorg ervoor dat op het tabblad Gebruikersrollen de accountrol is ingesteld op Manager en dat toegang tot gui en API is toegestaan
5. Meld u af bij het beheerdersaccount en meld u aan bij de console met de nieuwe API-referenties voor validatie en meld u vervolgens af bij het API-account.
6. Meld u met een beheerdersaccount opnieuw aan bij de console en wijzig de gebruikersrollen van de API-accounts, waardoor de toegang tot gui wordt verwijderd.
7. Sla alle wijzigingen op.

Handmatige implementatie: na het configureren van de functie-app

Het bestand host.json configureren

Als gevolg van de mogelijk grote hoeveelheid Qualys-hostdetectiegegevens die worden opgenomen, kan dit ertoe leiden dat de uitvoeringstijd de standaard time-out van de functie-app van vijf minuten overtreft. Verhoog de standaard time-outduur naar het maximum van 10 minuten, onder het Verbruiksplan, zodat de functie-app langer kan worden uitgevoerd.

1. Selecteer in de functie-app de naam van de functie-app en selecteer de App Service-editor pagina.
2. Selecteer Go om de editor te openen en selecteer vervolgens het bestand host.json onder de map wwwroot.
3. Voeg de regel "functionTimeout": "00:10:00", boven de regel managedDependancy toe.
4. Zorg ervoor dat SAVED wordt weergegeven in de rechterbovenhoek van de editor en sluit vervolgens de editor af.

Als een langere time-outduur is vereist, kunt u upgraden naar een App Service Abonnement.

Salesforce Service Cloud (preview)

Beveiligingsgebeurtenissen via verouderde agent (Windows)

Zie Onveilige protocollen instellen voor meer informatie.

Zie ook: gebeurtenissen Windows-beveiliging via AMA-connector op basis van Azure Monitor Agent (AMA)

Configureer de connector Beveiligingsgebeurtenissen/Windows-beveiliging Gebeurtenissen voor afwijkende RDP-aanmeldingsdetectie.

SentinelOne (preview)

Extra configuratie voor SentinelOne

Volg de instructies voor het verkrijgen van de referenties.

1. Meld u aan bij de SentinelOne-beheerconsole met beheerdersreferenties.
2. Selecteer in de beheerconsole Instellingen.
3. Selecteer GEBRUIKERS in de weergave INSTELLINGEN
4. Selecteer Nieuwe gebruiker.
5. Voer de gegevens voor de nieuwe consolegebruiker in.
6. Selecteer in Rol de optie Beheerder.
7. Selecteer OPSLAAN
8. Sla de referenties van de nieuwe gebruiker op voor gebruik in de gegevensconnector.

SonicWall Firewall (preview)

Sophos Cloud Optix (preview)

Sophos XG Firewall (preview)

Squadra Technologies secRMM

Proxy proxy (preview)

Symantec Integrated Cyber Defense Exchange (ICDx)

Symantec ProxySG (preview)

Symantec VIP (preview)

Thycotic Secret Server (preview)

Deep Security van Trend Micro

Trend Micro TippingPoint (preview)

Trend Micro Vision One (XDR) (preview)

VMware Carbon Black Endpoint Standard (preview)

VMware ESXi (preview)

WatchGuard Firebox (preview)

WireX Network Forensics Platform (preview)

Windows DNS-server (preview)

Windows doorgestuurde gebeurtenissen (preview)

Aanvullende instructies voor het implementeren van Windows connector voor doorgestuurde gebeurtenissen

Het is raadzaam om de ASIM-parsers (Advanced SIEM Information Model) te installeren om volledige ondersteuning voor gegevensnormalisatie te garanderen. U kunt deze parsers implementeren vanuit de Azure-Sentinel GitHub opslagplaats met behulp van de knop Implementeren in Azure.

Windows Firewall

Windows-beveiliging gebeurtenissen via AMA

Zie ook: Beveiligingsgebeurtenissen via verouderde agentconnector.

De connector Beveiligingsgebeurtenissen/Windows-beveiliging gebeurtenissen configureren voor afwijkende RDP-aanmeldingsdetectie

Microsoft Sentinel kan machine learning (ML) toepassen op beveiligingsgebeurtenisgegevens om afwijkende Remote Desktop Protocol(RDP)-aanmeldingsactiviteiten te identificeren. Scenario's omvatten:

• Ongebruikelijk IP-adres: het IP-adres is zelden of nooit waargenomen in de afgelopen 30 dagen

• Ongebruikelijke geografische locatie: het IP-adres, de plaats, het land en de ASN zijn zelden of nooit waargenomen in de afgelopen 30 dagen

• Nieuwe gebruiker: een nieuwe gebruiker meldt zich aan vanaf een IP-adres en geografische locatie. Beide of een van beide worden niet verwacht te zien op basis van gegevens van de 30 dagen daarvoor.

Configuratie-instructies

1. U moet RDP-aanmeldingsgegevens verzamelen (gebeurtenis-id 4624) via de connectors Beveiligingsgebeurtenissen of Windows-beveiliging Gebeurtenissen. Zorg ervoor dat u naast 'Geen' een gebeurtenissenset hebt geselecteerd of een regel voor gegevensverzameling hebt gemaakt die deze gebeurtenis-id bevat, om te streamen naar Microsoft Sentinel.

2. Selecteer in de Microsoft Sentinel-portal Analytics en selecteer vervolgens het tabblad Regelsjablonen. Kies de regel (Preview) Afwijkende RDP-aanmeldingsdetectie en verplaats de schuifregelaar Status naar Ingeschakeld.

   Notitie

   Omdat voor het machine learning-algoritme 30 dagen aan gegevens nodig zijn om een basislijnprofiel van gebruikersgedrag te maken, moet u toestaan dat er 30 dagen aan Windows-beveiliging-gebeurtenisgegevens worden verzameld voordat er incidenten kunnen worden gedetecteerd.

Workplace from Facebook (preview)

Webhooks configureren

1. Meld u aan bij de werkplek met beheerdersreferenties.
2. Selecteer integraties in het deelvenster Beheer.
3. Selecteer aangepaste integratie maken in de weergave Alle integraties.
4. Voer de naam en beschrijving in en selecteer Maken.
5. In het deelvenster Integratiedetails geeft u het app-geheim weer en kopieert u het.
6. Stel in het deelvenster Integratiemachtigingen alle leesmachtigingen in. Raadpleeg de machtigingspagina voor meer informatie.

Callback-URL toevoegen aan webhookconfiguratie

1. Open de pagina van uw functie-app, ga naar de lijst Functies, selecteer Functie-URL downloaden en kopieer deze.
2. Terug van Facebook naar Workplace. Stel in het deelvenster Webhooks configureren op elk tabblad de Callback-URL in als de Functie-URL die u in de laatste stap hebt gekopieerd en stel het token Verifiëren in als dezelfde waarde die u hebt ontvangen tijdens automatische implementatie of ingevoerd tijdens handmatige implementatie.
3. Selecteer Opslaan.

Zimperium Mobile Thread Defense (preview)

De Zimperium Mobile Threat Defense-gegevensconnector verbindt het Zimperium-bedreigingslogboek met Microsoft Sentinel om dashboards weer te geven, aangepaste waarschuwingen te maken en onderzoek te verbeteren. Deze connector biedt u meer inzicht in het mobiele bedreigingslandschap van uw organisatie en verbetert de mogelijkheden voor beveiligingsbewerkingen.

Zie Zimperium Verbinding maken Microsoft Sentinel voor meer informatie.

Zimperium MTD configureren en verbinden

1. Selecteer beheren in zConsole op de navigatiebalk.
2. Selecteer het tabblad Integraties.
3. Selecteer de knop Bedreigingsrapportage en vervolgens de knop Integraties toevoegen.
4. Maak de integratie:
   1. Selecteer Microsoft Sentinel in de beschikbare integraties.
   2. Voer uw werkruimte-id en primaire sleutel in en selecteer Volgende.
   3. Vul een naam in voor uw Microsoft Sentinel-integratie.
   4. Selecteer een filterniveau voor de bedreigingsgegevens die u naar Microsoft Sentinel wilt pushen.
   5. Selecteer Finish.

Zoomrapporten (preview)

Zscaler

Zscaler Private Access (ZPA) (preview)

Extra configuratie voor Zscaler Private Access

Volg de onderstaande configuratiestappen om Zscaler Private Access-logboeken op te halen bij Microsoft Sentinel. Zie de documentatie Azure Monitor meer informatie. Zscaler Private Access-logboeken worden geleverd via Log Streaming Service (LSS). Raadpleeg de LSS-documentatie voor gedetailleerde informatie.

1. Configureer logboekontvangers. Kies JSON als logboeksjabloon tijdens het configureren van een logboekontvanger.

2. Download het configuratiebestand zpa.conf.

   wget -v https://aka.ms/sentinel-zscalerprivateaccess-conf -O zpa.conf
   

3. Meld u aan bij de server waarop u de Azure Log Analytics-agent hebt geïnstalleerd.

4. Kopieer zpa.conf naar de map /etc/opt/microsoft/omsagent/ workspace_id /conf/omsagent.d/ .

5. Bewerk zpa.conf als volgt:

   1. Geef de poort op waar u de Zscaler-logboekontvangers naar wilt doorsturen (regel 4)
   2. Vervang workspace_id door de werkelijke waarde van uw werkruimte-id (regels 14.15.16.19)

6. Sla de wijzigingen op en start de Azure Log Analytics-agent voor Linux-service opnieuw met de volgende opdracht:

   sudo /opt/microsoft/omsagent/bin/service_control restart
   

U vindt de waarde van uw werkruimte-id op de pagina ZScaler Private Access-connector of op de pagina agentsbeheer van uw Log Analytics-werkruimte.

Volgende stappen

Zie voor meer informatie:

• Catalogus met Microsoft Sentinel-oplossingen
• Integratie van bedreigingsinformatie in Microsoft Sentinel