Łącznik usługi AI Vectra Stream dla usługi Microsoft Sentinel
Łącznik AI Vectra Stream umożliwia wysyłanie metadanych sieci zebranych przez czujniki Vectra w sieci i chmurze do usługi Microsoft Sentinel
Jest to automatycznie wygenerowana zawartość. W przypadku zmian skontaktuj się z dostawcą rozwiązania.
atrybuty Połączenie or
| atrybut Połączenie or | opis |
|---|---|
| Tabele usługi Log Analytics | VectraStream_CL |
| Obsługa reguł zbierania danych | Obecnie nieobsługiwane |
| Obsługiwane przez | Vectra AI |
Przykłady zapytań
Wyświetlanie listy wszystkich zapytań DNS
VectraStream
| where metadata_type == "metadat_dns"
| project orig_hostname, id_orig_h, resp_hostname, id_resp_h, id_resp_p, qtype_name, ['query'], answers
Liczba żądań DNS na typ
VectraStream
| where metadata_type == "metadat_dns"
| summarize count() by type_name
10 pierwszych zapytań do nieistnienej domeny
VectraStream
| where metadata_type == "metadat_dns"
| where rcode_name == "NXDomain"
| summarize Count=count() by tostring(query)
| order by Count desc
| limit 10
Hostowanie i witryny sieci Web przy użyciu nie efemerycznej wymiany kluczy Diffie-Hellman
VectraStream
| where metadata_type == "metadat_dns"
| where cipher contains "TLS_RSA"
| distinct orig_hostname, id_orig_h, id_resp_h, server_name, cipher
| project orig_hostname, id_orig_h, id_resp_h, server_name, cipher
Wymagania wstępne
Aby zintegrować się z usługą AI Vectra Stream, upewnij się, że:
- Mózg AI Vectra: należy skonfigurować do eksportowania metadanych strumienia w formacie JSON
Instrukcje instalacji dostawcy
Uwaga
Ten łącznik danych zależy od analizatora opartego na funkcji Kusto działającej zgodnie z oczekiwaniami VectraStream , która jest wdrażana przy użyciu rozwiązania Microsoft Sentinel.
- Instalowanie i dołączanie agenta dla systemu Linux
Zainstaluj agenta systemu Linux w wystąpieniu systemu Linux.
Dzienniki są zbierane tylko z agentów systemu Linux .
- Konfigurowanie dzienników do zebrania
Wykonaj poniższe kroki konfiguracji, aby pobrać metadane strumienia Vectra do usługi Microsoft Sentinel. Agent usługi Log Analytics służy do wysyłania niestandardowego kodu JSON do usługi Azure Monitor, umożliwiając przechowywanie metadanych w tabeli niestandardowej. Aby uzyskać więcej informacji, zapoznaj się z dokumentacją usługi Azure Monitor.
Pobierz plik konfiguracji agenta usługi Log Analytics: VectraStream.conf (znajdujący się w folderze Połączenie or w rozwiązaniu Vectra: https://aka.ms/sentinel-aivectrastream-conf).
Zaloguj się do serwera, na którym zainstalowano agenta usługi Azure Log Analytics.
Skopiuj plik VectraStream.conf do folderu /etc/opt/microsoft/omsagent/workspace_id/conf/omsagent.d/.
Edytuj plik VectraStream.conf w następujący sposób:
i. w razie potrzeby skonfiguruj alternatywny port do wysyłania danych. Port domyślny to 29009.
ii. zastąp workspace_id rzeczywistą wartością identyfikatora obszaru roboczego.
Zapisz zmiany i uruchom ponownie agenta usługi Azure Log Analytics dla systemu Linux za pomocą następującego polecenia: sudo /opt/microsoft/omsagent/bin/service_control restart
Konfigurowanie i łączenie strumienia AI Vectra
Skonfiguruj mózg Vectra AI, aby przekazywać metadane strumienia w formacie JSON do obszaru roboczego usługi Microsoft Sentinel za pośrednictwem agenta usługi Log Analytics.
W interfejsie użytkownika Vectra przejdź do pozycji Ustawienia > Cognito Stream i Edytuj konfigurację docelową:
Wybierz pozycję Publisher: RAW JSON
Ustaw adres IP serwera lub nazwę hosta (czyli hosta, na którym jest uruchomiony agent usługi Log Analytics)
Ustaw cały port na 29009 (ten port można zmodyfikować, jeśli jest to wymagane)
Zapisz
Ustaw typy dzienników (wybierz wszystkie dostępne typy dzienników)
Kliknij pozycję Zapisz
Następne kroki
Aby uzyskać więcej informacji, przejdź do powiązanego rozwiązania w witrynie Azure Marketplace.