Łącznik Trend Micro Deep Security dla usługi Microsoft Sentinel
Łącznik Trend Micro Deep Security umożliwia łatwe łączenie dzienników zabezpieczeń głębokich za pomocą usługi Microsoft Sentinel, wyświetlanie pulpitów nawigacyjnych, tworzenie alertów niestandardowych i ulepszanie badania. Zapewnia to lepszy wgląd w sieci/systemy organizacji i zwiększa możliwości operacji zabezpieczeń.
Jest to automatycznie wygenerowana zawartość. W przypadku zmian skontaktuj się z dostawcą rozwiązania.
atrybuty Połączenie or
| atrybut Połączenie or | opis |
|---|---|
| Adres URL funkcji Kusto | https://aka.ms/TrendMicroDeepSecurityFunction |
| Tabele usługi Log Analytics | CommonSecurityLog (TrendMicroDeepSecurity) |
| Obsługa reguł zbierania danych | Przekształcanie obszaru roboczego DCR |
| Obsługiwane przez | Trend Micro |
Przykłady zapytań
Zdarzenia zapobiegania włamaniom
TrendMicroDeepSecurity
| where DeepSecurityModuleName == "Intrusion Prevention"
| sort by TimeGenerated
Zdarzenia monitorowania integralności
TrendMicroDeepSecurity
| where DeepSecurityModuleName == "Integrity Monitoring"
| sort by TimeGenerated
Zdarzenia zapory
TrendMicroDeepSecurity
| where DeepSecurityModuleName == "Firewall Events"
| sort by TimeGenerated
Zdarzenia inspekcji dzienników
TrendMicroDeepSecurity
| where DeepSecurityModuleName == "Log Inspection"
| sort by TimeGenerated
Zdarzenia ochrony przed złośliwym oprogramowaniem
TrendMicroDeepSecurity
| where DeepSecurityModuleName == "Anti-Malware"
| sort by TimeGenerated
Zdarzenia reputacji sieci Web
TrendMicroDeepSecurity
| where DeepSecurityModuleName == "Web Reputation"
| sort by TimeGenerated
Instrukcje instalacji dostawcy
- Konfiguracja agenta syslogu systemu Linux
Zainstaluj i skonfiguruj agenta systemu Linux w celu zbierania komunikatów dziennika systemu Common Event Format (CEF) i przekazywania ich do usługi Microsoft Sentinel.
Zwróć uwagę, że dane ze wszystkich regionów będą przechowywane w wybranym obszarze roboczym
1.1 Wybieranie lub tworzenie maszyny z systemem Linux
Wybierz lub utwórz maszynę z systemem Linux, która będzie używana przez usługę Microsoft Sentinel jako serwer proxy między rozwiązaniem zabezpieczeń a usługą Microsoft Sentinel, może znajdować się w środowisku lokalnym, na platformie Azure lub w innych chmurach.
1.2 Instalowanie modułu zbierającego CEF na maszynie z systemem Linux
Zainstaluj program Microsoft Monitoring Agent na maszynie z systemem Linux i skonfiguruj maszynę do nasłuchiwania na wymaganym porcie i przekazywania komunikatów do obszaru roboczego usługi Microsoft Sentinel. Moduł zbierający CEF zbiera komunikaty CEF na porcie 514 TCP.
- Upewnij się, że na maszynie jest używany język Python, używając następującego polecenia: python -version.
- Musisz mieć uprawnienia z podwyższonym poziomem uprawnień (sudo) na maszynie.
Uruchom następujące polecenie, aby zainstalować i zastosować moduł zbierający CEF:
sudo wget -O cef_installer.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/CEF/cef_installer.py&&sudo python cef_installer.py {0} {1}
Przekazywanie dzienników zabezpieczeń trendu micro deep do agenta syslog
Ustaw rozwiązanie zabezpieczeń, aby wysyłać komunikaty dziennika systemowego w formacie CEF do maszyny proxy. Pamiętaj, aby wysłać dzienniki do portu 514 TCP na adres IP maszyny.
Przekazywanie zdarzeń usługi Trend Micro Deep Security do agenta dziennika systemowego.
Zdefiniuj nową konfigurację dziennika systemowego korzystającą z formatu CEF, odwołując się do tego artykułu merytorycznego, aby uzyskać dodatkowe informacje.
Skonfiguruj Menedżera zabezpieczeń zaawansowanej, aby używać tej nowej konfiguracji do przekazywania zdarzeń do agenta usługi Syslog, korzystając z tych instrukcji.
Pamiętaj, aby zapisać funkcję TrendMicroDeepSecurity , aby prawidłowo wysyłała zapytania do danych usługi Trend Micro Deep Security.
Weryfikowanie połączenia
Postępuj zgodnie z instrukcjami, aby zweryfikować łączność:
Otwórz usługę Log Analytics, aby sprawdzić, czy dzienniki są odbierane przy użyciu schematu CommonSecurityLog.
Przesyłanie strumieniowe danych połączenia do obszaru roboczego może potrwać około 20 minut.
Jeśli dzienniki nie zostaną odebrane, uruchom następujący skrypt weryfikacji łączności:
- Upewnij się, że na maszynie jest używany język Python, używając następującego polecenia: python -version
- Musisz mieć uprawnienia z podwyższonym poziomem uprawnień (sudo) na maszynie
Uruchom następujące polecenie, aby zweryfikować łączność:
sudo wget -O cef_troubleshoot.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/CEF/cef_troubleshoot.py&&sudo python cef_troubleshoot.py {0}
- Zabezpieczanie maszyny
Upewnij się, że skonfigurować zabezpieczenia maszyny zgodnie z zasadami zabezpieczeń organizacji
Następne kroki
Aby uzyskać więcej informacji, przejdź do powiązanego rozwiązania w witrynie Azure Marketplace.