Соединитель AI Vectra Stream для Microsoft Sentinel
Соединитель AI Vectra Stream позволяет отправлять метаданные сети, собранные датчиками Vectra в сети и облаке в Microsoft Sentinel
Это автоматически сформированное содержимое. Для изменений обратитесь к поставщику решений.
атрибуты Подключение or
Атрибут соединителя | Description |
---|---|
Таблицы Log Analytics | VectraStream_CL |
Поддержка правил сбора данных | В настоящий момент не поддерживается |
Поддерживается | Vectra AI |
Примеры запросов
Перечисление всех ЗАПРОСОВ DNS
VectraStream
| where metadata_type == "metadat_dns"
| project orig_hostname, id_orig_h, resp_hostname, id_resp_h, id_resp_p, qtype_name, ['query'], answers
Число запросов DNS на тип
VectraStream
| where metadata_type == "metadat_dns"
| summarize count() by type_name
Первые 10 запросов к существующему домену
VectraStream
| where metadata_type == "metadat_dns"
| where rcode_name == "NXDomain"
| summarize Count=count() by tostring(query)
| order by Count desc
| limit 10
Размещение и веб-сайты с использованием неэфемерного обмена ключами Diffie-Hellman
VectraStream
| where metadata_type == "metadat_dns"
| where cipher contains "TLS_RSA"
| distinct orig_hostname, id_orig_h, id_resp_h, server_name, cipher
| project orig_hostname, id_orig_h, id_resp_h, server_name, cipher
Необходимые компоненты
Чтобы интегрироваться с AI Vectra Stream, убедитесь, что у вас есть:
- Vectra AI Brain: необходимо настроить экспорт метаданных Stream в JSON
Инструкции по установке поставщика
Примечание.
Этот соединитель данных зависит от средства синтаксического анализа на основе функции Kusto для работы, как ожидалось , VectraStream , развернутой с помощью решения Microsoft Sentinel.
- Установка и подключение агента для Linux
Установите агент Linux в экземпляре sperate Linux.
Журналы собираются только из агентов Linux .
- Настройка журналов для сбора
Выполните приведенные ниже действия по настройке, чтобы получить метаданные Vectra Stream в Microsoft Sentinel. Агент Log Analytics используется для отправки пользовательского JSON в Azure Monitor, что позволяет хранить метаданные в настраиваемую таблицу. Дополнительные сведения см. в документации по Azure Monitor.
Скачайте файл конфигурации для агента log analytics: VectraStream.conf (расположен в папке Подключение or в решении Vectra: https://aka.ms/sentinel-aivectrastream-conf).
Войдите на сервер, на котором установлен агент Azure Log Analytics.
Скопируйте VectraStream.conf в папку /etc/opt/microsoft/omsagent/workspace_id/conf/omsagent.d/.
Измените VectraStream.conf следующим образом:
i. при желании настройте альтернативный порт для отправки данных. Порт по умолчанию — 29009.
ii. замените workspace_id реальным значением идентификатора рабочей области.
Сохраните изменения и перезапустите агент Azure Log Analytics для службы Linux с помощью следующей команды: sudo /opt/microsoft/omsagent/bin/service_control перезапуск
Настройка и подключение Потока ИИ Vectra
Настройте Vectra AI Brain для пересылки метаданных Stream в формате JSON в рабочую область Microsoft Sentinel через агент Log Analytics.
В пользовательском интерфейсе Vectra перейдите к Параметры > Cognito Stream и измените конфигурацию назначения:
Выбор издателя: RAW JSON
Задайте IP-адрес сервера или имя узла (который запускает агент Log Analytics)
Задайте для всех портов значение 29009 (этот порт можно изменить при необходимости)
Сохранить
Задать типы журналов (выберите все доступные типы журналов)
В меню «Параметры» щелкните пункт Сохранить
Следующие шаги
Дополнительные сведения см. в связанном решении в Azure Marketplace.