Conector iboss para Microsoft Sentinel
O conector de dados iboss permite que você conecte perfeitamente o Console de Ameaças ao Microsoft Sentinel e enriqueça sua instância com logs de eventos de URL do iboss. Nossos logs são encaminhados no CEF (Common Event Format) no Syslog e a configuração necessária pode ser concluída na plataforma iboss sem o uso de um proxy. Aproveite nosso conector para obter pontos de dados críticos e obter insights sobre ameaças à segurança.
Atributos do conector
| Atributo do conector | Description |
|---|---|
| Tabela(s) do Log Analytics | ibossUrlEvent |
| Suporte às regras de coleta de dados | Sem suporte no momento |
| Com suporte por | iboss |
Exemplos de consulta
Logs recebidos da semana passada
ibossUrlEvent
| where TimeGenerated > ago(7d)
Instruções de instalação do fornecedor
- Configurar um computador Linux proxy dedicado
Se estiver usando o ambiente iboss gov ou preferir encaminhar os logs para um computador Linux proxy dedicado, prossiga com esta etapa. Em todos os outros casos, avance para a etapa dois.
1.1 Configuração do agente do Syslog do Linux
Instale e configure o agente do Linux para coletar suas mensagens do Syslog no Formato Comum de Evento (CEF) e encaminhá-las para o Microsoft Sentinel.
Observe que os dados de todas as regiões serão armazenados no espaço de trabalho selecionado
1.2 Selecionar ou criar um computador Linux
Selecione ou crie um computador Linux que o Microsoft Sentinel usará como computador Linux proxy dedicado entre a sua solução de segurança e o Microsoft Sentinel. Esse computador pode estar no seu ambiente local, no Azure ou em outras nuvens.
1.3 Instalar o coletor CEF no computador Linux
Instale o Microsoft Monitoring Agent no seu computador Linux e configure o computador para escutar na porta necessária e encaminhar mensagens para o espaço de trabalho do Microsoft Sentinel. O coletor CEF coleta mensagens CEF na porta 514 TCP.
- Certifique-se de que você tem o Python instalado no seu computador usando o seguinte comando: python -version
- Você precisa ter permissões elevadas (sudo) no seu computador
Execute o seguinte comando para instalar e aplicar o coletor CEF:
sudo wget -O cef_installer.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/CEF/cef_installer.py&&sudo python cef_installer.py {0} {1}
- Encaminhar logs de CEF (Formato Comum de Evento)
Defina o Console de Ameaças para enviar mensagens do Syslog no formato CEF para o espaço de trabalho do Azure. Anote a ID do espaço de trabalho e a chave primária do espaço de trabalho do Log Analytics (selecione o espaço de trabalho no menu Espaços de trabalho do Log Analytics no portal do Azure. Em seguida, selecione Gerenciamento de agentes na seção Configurações).
- Navegue até Reporting & Analytics dentro do console do iboss
- Selecione Encaminhamento de log –> Encaminhar do relator
- Selecionar ações –> Adicionar serviço
- Alterne para o Microsoft Sentinel como um Tipo de Serviço e insira sua ID do espaço de trabalho/chave primária juntamente com outros critérios. Se um computador Linux proxy dedicado tiver sido configurado, alterne para o Syslog como um tipo de serviço e defina as configurações para apontar para o computador Linux proxy dedicado
- Aguarde de um a dois minutos até que a instalação seja concluída
- Selecione seu serviço do Microsoft Sentinel e verifique se o status de instalação do Microsoft Sentinel foi bem-sucedido. Se um computador Linux proxy dedicado tiver sido configurado, você poderá continuar validando sua conexão
- Validar conexão
Abra o Log Analytics para verificar se os logs são recebidos usando o esquema CommonSecurityLog.
Pode levar cerca de 20 minutos até que a conexão transmita dados para o seu espaço de trabalho
- Proteja seu computador
Certifique-se de configurar a segurança do computador de acordo com a política de segurança da sua organização (aplicável somente se um computador Linux proxy dedicado tiver sido configurado).
Próximas etapas
Para obter mais informações, acesse a solução relacionada no Azure Marketplace.