Соединитель Trend Micro Deep Security для Microsoft Sentinel

  • Статья

Соединитель Trend Micro Deep Security позволяет легко подключать журналы глубокой безопасности к Microsoft Sentinel, просматривать панели мониторинга, создавать пользовательские оповещения и улучшать исследование. Это дает вам больше сведений о сетях и системах вашей организации и улучшает возможности операций безопасности.

Это автоматически сформированное содержимое. Для изменений обратитесь к поставщику решений.

атрибуты Подключение or

Атрибут соединителя Description
URL-адрес функции Kusto https://aka.ms/TrendMicroDeepSecurityFunction
Таблицы Log Analytics CommonSecurityLog (TrendMicroDeepSecurity)
Поддержка правил сбора данных Преобразование DCR рабочей области
Поддерживается Trend Micro

Примеры запросов

События предотвращения вторжений


TrendMicroDeepSecurity

         
| where DeepSecurityModuleName == "Intrusion Prevention"
         
| sort by TimeGenerated

События мониторинга целостности


TrendMicroDeepSecurity

         
| where DeepSecurityModuleName == "Integrity Monitoring"
         
| sort by TimeGenerated

События брандмауэра


TrendMicroDeepSecurity

         
| where DeepSecurityModuleName == "Firewall Events"
         
| sort by TimeGenerated

События проверки журналов


TrendMicroDeepSecurity

         
| where DeepSecurityModuleName == "Log Inspection"
         
| sort by TimeGenerated

События защиты от вредоносных программ


TrendMicroDeepSecurity

         
| where DeepSecurityModuleName == "Anti-Malware"
         
| sort by TimeGenerated

События веб-репутации


TrendMicroDeepSecurity

         
| where DeepSecurityModuleName == "Web Reputation"
         
| sort by TimeGenerated

Инструкции по установке поставщика

  1. Конфигурация агента Syslog Linux

Установите и настройте агент Linux, чтобы собирать сообщения системного журнала общего формата событий (CEF) и пересылать их в Microsoft Sentinel.

Обратите внимание, что в выбранной рабочей области будут храниться данные из всех регионов

1.1 Выбор или создание компьютера с Linux

Выберите или создайте компьютер Linux, который Microsoft Sentinel будет использовать в качестве прокси-сервера между решением безопасности и Microsoft Sentinel, который может находиться в локальной среде, Azure или других облаках.

1.2 Установка сборщика CEF на компьютере с Linux

Установите microsoft Monitoring Agent на компьютере Linux и настройте компьютер для прослушивания необходимого порта и пересылки сообщений в рабочую область Microsoft Sentinel. Сборщик CEF собирает сообщения CEF, передаваемые через TCP-порт 514.

  1. Убедитесь, что на компьютере установлен Python, выполнив следующую команду: python -version.
  1. Вы должны обладать повышенными правами (sudo) на компьютере.

Выполните следующую команду, чтобы установить и применить сборщик CEF:

sudo wget -O cef_installer.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/CEF/cef_installer.py&&sudo python cef_installer.py {0} {1}

  1. Переадресация журналов Глубокой безопасности Trend Micro в агент syslog

  2. Задайте решение для обеспечения безопасности для отправки сообщений системного журнала в формате CEF на прокси-компьютер. Убедитесь, что журналы отправляются через порт 514 TCP на IP-адрес компьютера.

  3. Переадресация событий Trend Micro Deep Security в агент системного журнала.

  4. Определите новую конфигурацию системного журнала, которая использует формат CEF, ссылаясь на эту статью знаний для получения дополнительных сведений.

  5. Настройте диспетчер глубокой безопасности, чтобы использовать эту новую конфигурацию для пересылки событий агенту Системного журнала с помощью этих инструкций.

  6. Сохраните функцию TrendMicroDeepSecurity , чтобы она правильно запрашивала данные Trend Micro Deep Security.

  7. Проверка подключения

Следуйте инструкциям, чтобы проверить подключение:

Откройте Log Analytics, чтобы проверка, если журналы получены с помощью схемы CommonSecurityLog.

Это может занять около 20 минут, пока данные подключения не передаются в рабочую область.

Если журналы не получены, выполните следующий сценарий проверки подключения:

  1. Убедитесь, что на компьютере есть Python, используя следующую команду: python -version
  1. На компьютере должны быть повышенные разрешения (sudo)

Выполните следующую команду, чтобы проверить подключение:

sudo wget -O cef_troubleshoot.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/CEF/cef_troubleshoot.py&&sudo python cef_troubleshoot.py {0}

  1. Защита компьютера

Обязательно настройте безопасность компьютера в соответствии с политикой безопасности вашей организации.

Подробнее>

Следующие шаги

Дополнительные сведения см. в связанном решении в Azure Marketplace.