Conector Vectra AI Detect para Microsoft Sentinel
O conector Vectra AI Detect permite que os usuários conectem logs do Vectra Detect com o Microsoft Sentinel, exibam painéis, criem alertas personalizados e melhorem a investigação. Isso fornece aos usuários mais insights sobre a rede de sua organização e aprimora suas funcionalidades de operação de segurança.
Atributos do conector
Atributo do conector | Description |
---|---|
Tabela(s) do Log Analytics | CommonSecurityLog (AIVectraDetect) |
Suporte às regras de coleta de dados | DCR de transformação do espaço de trabalho |
Com suporte por | IA da Vectra |
Exemplos de consulta
Todos os logs
CommonSecurityLog
| where DeviceVendor == "Vectra Networks"
| where DeviceProduct == "X Series"
| sort by TimeGenerated
Contagem de hosts por severidade
CommonSecurityLog
| where DeviceVendor == "Vectra Networks" and DeviceEventClassID == "hsc"
| extend src = coalesce(SourceHostName, SourceIP)
| summarize arg_max(TimeGenerated, *) by src
| extend status = case(FlexNumber1>=50 and FlexNumber2<50, "High", FlexNumber1>=50 and FlexNumber2>=50, "Critical", FlexNumber1<50 and FlexNumber2>=50, "Medium", FlexNumber1>0 and FlexNumber1<50 and FlexNumber2>0 and FlexNumber2<50,"Low", "Other")
| where status != "Other"
| summarize Count = count() by status
Lista de piores criminosos
CommonSecurityLog
| where DeviceVendor == "Vectra Networks" and DeviceEventClassID == "hsc"
| extend src = coalesce(SourceHostName, SourceIP)
| summarize arg_max(TimeGenerated, *) by src
| sort by FlexNumber1 desc, FlexNumber2 desc
| limit 10
| project row_number(), src, SourceIP, FlexNumber1 , FlexNumber2, TimeGenerated
| project-rename Sr_No = Column1, Source = src, Source_IP = SourceIP, Threat = FlexNumber1, Certainty = FlexNumber2, Latest_Detection = TimeGenerated
Dez principais tipos de detecção
CommonSecurityLog
| extend ExternalID = coalesce(column_ifexists("ExtID", ""), tostring(ExternalID), "")
| where DeviceVendor == "Vectra Networks" and DeviceEventClassID !in ("health", "audit", "campaigns", "hsc", "asc") and isnotnull(ExternalID)
| summarize Count = count() by DeviceEventClassID
| top 10 by Count desc
Instruções de instalação do fornecedor
- Configuração do agente de Syslog do Linux
Instale e configure o agente do Linux para coletar suas mensagens do Syslog no Formato Comum de Evento (CEF) e encaminhá-las para o Microsoft Sentinel.
Observe que os dados de todas as regiões serão armazenados no espaço de trabalho selecionado
1.1 Selecionar ou criar um computador Linux
Selecione ou crie um computador Linux que o Microsoft Sentinel usará como proxy entre a sua solução de segurança e o Microsoft Sentinel. Este computador pode estar no seu ambiente local, no Azure ou em outras nuvens.
1.2 Instalar o coletor CEF no computador Linux
Instale o Microsoft Monitoring Agent no seu computador Linux e configure o computador para escutar na porta necessária e encaminhar mensagens para o espaço de trabalho do Microsoft Sentinel. O coletor CEF coleta mensagens CEF na porta 514 por TCP, UDP ou TLS.
- Certifique-se de que você tem o Python instalado no seu computador usando o seguinte comando: python --version.
- Você deve ter permissões elevadas (sudo) no computador.
Execute o seguinte comando para instalar e aplicar o coletor CEF:
sudo wget -O cef_installer.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/CEF/cef_installer.py&&sudo python cef_installer.py {0} {1}
- Encaminhar os logs do Vectra AI Detect ao agente do Syslog no formato CEF
Configure o agente do Vectra (Série X) para encaminhar mensagens de Syslog no formato CEF para seu espaço de trabalho do Microsoft Sentinel por meio do agente do Syslog.
Na interface do usuário do Vectra, acesse Configurações > Notificações e escolha a configuração Editar Syslog. Siga as instruções abaixo para configurar a conexão:
Adicione um novo Destino (que é o host em que o Agente de Syslog do Microsoft Sentinel está em execução)
Definir a porta como 514
Definir o protocolo como UDP
Definir o formato como CEF
Defina tipos de log (selecionar todos os tipos de log disponíveis)
Clique em Salvar
O usuário pode clicar no botão Testar para forçar o envio de alguns eventos de teste.
Para obter mais informações, confira o Guia de Syslog do Cognito Detect, que pode ser baixado da página de recursos na interface do usuário do Detect.
- Validar conexão
Siga as instruções para validar sua conectividade:
Abra o Log Analytics para verificar se os logs são recebidos usando o esquema CommonSecurityLog.
Pode levar cerca de 20 minutos até que a conexão transmita dados para o seu espaço de trabalho.
Se os logs não forem recebidos, execute o seguinte script de validação de conectividade:
- Certifique-se de que você tem o Python instalado no seu computador usando o seguinte comando: python --version
- Você precisa ter permissões elevadas (sudo) no seu computador
Execute o seguinte comando para validar a sua conectividade:
sudo wget -O cef_troubleshoot.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/CEF/cef_troubleshoot.py&&sudo python cef_troubleshoot.py {0}
- Proteja seu computador
Certifique-se de configurar a segurança do computador de acordo com a política de segurança da sua organização
Próximas etapas
Para obter mais informações, acesse a solução relacionada no Azure Marketplace.