Conector do AI Vectra Stream para Microsoft Sentinel
O conector do AI Vectra Stream permite enviar metadados de rede coletados por sensores do Vectra na rede e na nuvem para o Microsoft Sentinel
Atributos do conector
| Atributo do conector | Description |
|---|---|
| Tabela(s) do Log Analytics | VectraStream_CL |
| Suporte às regras de coleta de dados | Sem suporte no momento |
| Com suporte por | IA da Vectra |
Exemplos de consulta
Listar todas as consultas DNS
VectraStream
| where metadata_type == "metadat_dns"
| project orig_hostname, id_orig_h, resp_hostname, id_resp_h, id_resp_p, qtype_name, ['query'], answers
Número de solicitações DNS por tipo
VectraStream
| where metadata_type == "metadat_dns"
| summarize count() by type_name
Dez principais consulta de domínio não existente
VectraStream
| where metadata_type == "metadat_dns"
| where rcode_name == "NXDomain"
| summarize Count=count() by tostring(query)
| order by Count desc
| limit 10
Host e sites usando troca de chaves não efêmeras Diffie-Hellman
VectraStream
| where metadata_type == "metadat_dns"
| where cipher contains "TLS_RSA"
| distinct orig_hostname, id_orig_h, id_resp_h, server_name, cipher
| project orig_hostname, id_orig_h, id_resp_h, server_name, cipher
Pré-requisitos
Para fazer a integração com o AI Vectra Stream, verifique se você tem:
- Vectra AI Brain: precisa ser configurado para exportar metadados do Stream no JSON
Instruções de instalação do fornecedor
Observação
Esse conector de dados depende de um analisador baseado em uma função Kusto para funcionar conforme o esperado, VectraStream, que é implantada com a solução Microsoft Sentinel.
- Instalar e integrar o agente para Linux
Instale o agente do Linux em uma instância do Linux separada.
Os logs são coletados somente de agentes do Linux.
- Configurar os logs a serem coletados
Siga as etapas de configuração abaixo para enviar os metadados do Vectra Stream para o Microsoft Sentinel. O agente do Log Analytics é aproveitado para enviar um JSON personalizado ao Azure Monitor, permitindo o armazenamento de metadados em uma tabela personalizada. Para obter mais informações, confira a Documentação do Azure Monitor.
Baixe o arquivo de configuração do agente do Log Analytics: VectraStream.conf (localizado na pasta Conector dentro da solução Vectra: https://aka.ms/sentinel-aivectrastream-conf).
Entre no servidor em que você instalou o agente do Azure Log Analytics.
Copie o VectraStream.conf na pasta /etc/opt/microsoft/omsagent/workspace_id/conf/omsagent.d/.
Edite o VectraStream.conf da seguinte maneira:
i. configure uma porta alternativa para receber dados, se desejado. A porta padrão é 29009.
ii. substitua workspace_id pelo valor real da ID do workspace.
Salve as alterações e reinicie o agente do Azure Log Analytics para o serviço do Linux com o seguinte comando: sudo /opt/microsoft/omsagent/bin/service_control restart
Configurar e conectar o Vectra AI Stream
Configure o Vectra AI Brain para encaminhar metadados do Stream no formato JSON ao workspace do Microsoft Sentinel por meio do Agente do Log Analytics.
Na interface do usuário do Vectra, navegue até Configurações > Cognito Stream e edite a configuração de destino:
Selecione Editor: RAW JSON
Defina o IP ou o nome do host do servidor (que é o host que executa o Agente do Log Analytics)
Defina toda a porta como 29009 (essa porta pode ser modificada, se necessário)
Salvar
Definir tipos de log (selecione todos os tipos de log disponíveis)
Clique em Salvar
Próximas etapas
Para obter mais informações, acesse a solução relacionada no Azure Marketplace.