Łącznik usługi Awake Security dla usługi Microsoft Sentinel
Łącznik Awake Security CEF umożliwia użytkownikom wysyłanie dopasowań modelu wykrywania z platformy zabezpieczeń Awake do usługi Microsoft Sentinel. Szybkie korygowanie zagrożeń dzięki możliwości wykrywania i reagowania na sieć oraz przyspieszania badań dzięki głębokiemu wglądowi w niezarządzane jednostki, w tym użytkowników, urządzeń i aplikacji w sieci. Łącznik umożliwia również tworzenie niestandardowych alertów, zdarzeń, skoroszytów i notesów dotyczących zabezpieczeń sieci, które są zgodne z istniejącymi przepływami pracy operacji zabezpieczeń.
Jest to automatycznie wygenerowana zawartość. W przypadku zmian skontaktuj się z dostawcą rozwiązania.
atrybuty Połączenie or
atrybut Połączenie or | opis |
---|---|
Tabele usługi Log Analytics | CommonSecurityLog (AwakeSecurity) |
Obsługa reguł zbierania danych | Przekształcanie obszaru roboczego DCR |
Obsługiwane przez | Arista - Awake Security |
Przykłady zapytań
5 pierwszych dopasowań modelu niepożądanego według ważności
union CommonSecurityLog
| where DeviceVendor == "Arista Networks" and DeviceProduct == "Awake Security"
| summarize TotalActivities=sum(EventCount) by Activity,LogSeverity
| top 5 by LogSeverity desc
5 pierwszych urządzeń według oceny ryzyka urządzenia
CommonSecurityLog
| where DeviceVendor == "Arista Networks" and DeviceProduct == "Awake Security"
| extend DeviceCustomNumber1 = coalesce(column_ifexists("FieldDeviceCustomNumber1", long(null)), DeviceCustomNumber1, long(null))
| summarize MaxDeviceRiskScore=max(DeviceCustomNumber1),TimesAlerted=count() by SourceHostName=coalesce(SourceHostName,"Unknown")
| top 5 by MaxDeviceRiskScore desc
Instrukcje instalacji dostawcy
- Konfiguracja agenta syslogu systemu Linux
Zainstaluj i skonfiguruj agenta systemu Linux w celu zbierania komunikatów dziennika systemu Common Event Format (CEF) i przekazywania ich do usługi Microsoft Sentinel.
Zwróć uwagę, że dane ze wszystkich regionów będą przechowywane w wybranym obszarze roboczym
1.1 Wybieranie lub tworzenie maszyny z systemem Linux
Wybierz lub utwórz maszynę z systemem Linux, która będzie używana przez usługę Microsoft Sentinel jako serwer proxy między rozwiązaniem zabezpieczeń a usługą Microsoft Sentinel, może znajdować się w środowisku lokalnym, na platformie Azure lub w innych chmurach.
1.2 Instalowanie modułu zbierającego CEF na maszynie z systemem Linux
Zainstaluj program Microsoft Monitoring Agent na maszynie z systemem Linux i skonfiguruj maszynę do nasłuchiwania na wymaganym porcie i przekazywania komunikatów do obszaru roboczego usługi Microsoft Sentinel. Moduł zbierający CEF zbiera komunikaty CEF na porcie 514 TCP.
- Upewnij się, że na maszynie jest używany język Python, używając następującego polecenia: python -version.
- Musisz mieć uprawnienia z podwyższonym poziomem uprawnień (sudo) na maszynie.
Uruchom następujące polecenie, aby zainstalować i zastosować moduł zbierający CEF:
sudo wget -O cef_installer.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/CEF/cef_installer.py&&sudo python cef_installer.py {0} {1}
- Prześlij dalej wyniki modelu adversarial model do modułu zbierającego CEF.
Wykonaj następujące kroki, aby przekazać wyniki dopasowania modelu Awake Adversarial do modułu zbierającego CEF nasłuchującego na porcie TCP 514 pod adresem IP 192.168.0.1:
- Przejdź do strony Umiejętności zarządzania wykrywaniem w interfejsie użytkownika aplikacji Awake.
- Kliknij pozycję + Dodaj nową umiejętność.
- Ustaw pole Wyrażenie na,
integrations.cef.tcp { destination: "192.168.0.1", port: 514, secure: false, ważność: Ostrzeżenie }
- Ustaw pole Tytuł na opisową nazwę, taką jak,
Prześlij wynik dopasowania modelu adversarial do usługi Microsoft Sentinel.
- Ustaw identyfikator odwołania na coś, co można łatwo odnaleźć, na przykład
integrations.cef.sentinel-forwarder
- Kliknij opcję Zapisz.
Uwaga: W ciągu kilku minut od zapisania definicji i innych pól system rozpocznie wysyłanie wyników dopasowania nowego modelu do modułu zbierającego zdarzenia CEF w miarę ich wykrywania.
Aby uzyskać więcej informacji, zapoznaj się ze stroną Dodawanie integracji wypychania informacji o zabezpieczeniach i zarządzania zdarzeniami w dokumentacji pomocy w interfejsie użytkownika aplikacji Awake.
- Weryfikowanie połączenia
Postępuj zgodnie z instrukcjami, aby zweryfikować łączność:
Otwórz usługę Log Analytics, aby sprawdzić, czy dzienniki są odbierane przy użyciu schematu CommonSecurityLog.
Przesyłanie strumieniowe danych połączenia do obszaru roboczego może potrwać około 20 minut.
Jeśli dzienniki nie zostaną odebrane, uruchom następujący skrypt weryfikacji łączności:
- Upewnij się, że na maszynie jest używany język Python, używając następującego polecenia: python -version
- Musisz mieć uprawnienia z podwyższonym poziomem uprawnień (sudo) na maszynie
Uruchom następujące polecenie, aby zweryfikować łączność:
sudo wget -O cef_troubleshoot.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/CEF/cef_troubleshoot.py&&sudo python cef_troubleshoot.py {0}
- Zabezpieczanie maszyny
Upewnij się, że skonfigurować zabezpieczenia maszyny zgodnie z zasadami zabezpieczeń organizacji
Następne kroki
Aby uzyskać więcej informacji, przejdź do powiązanego rozwiązania w witrynie Azure Marketplace.