AI Vectra Stream-anslutningsprogram för Microsoft Sentinel
MED AI Vectra Stream-anslutningsappen kan du skicka nätverksmetadata som samlats in av Vectra-sensorer över nätverket och molnet till Microsoft Sentinel
Det här är automatiskt genererat innehåll. Om du vill ha ändringar kontaktar du lösningsleverantören.
Anslut ellerattribut
| Anslut ellerattribut | beskrivning |
|---|---|
| Log Analytics-tabeller | VectraStream_CL |
| Stöd för regler för datainsamling | Stöds för närvarande inte |
| Stöds av | Vectra AI |
Exempel på frågor
Visa en lista över alla DNS-frågor
VectraStream
| where metadata_type == "metadat_dns"
| project orig_hostname, id_orig_h, resp_hostname, id_resp_h, id_resp_p, qtype_name, ['query'], answers
Antal DNS-begäranden per typ
VectraStream
| where metadata_type == "metadat_dns"
| summarize count() by type_name
Topp 10 av frågan till en icke-befintlig domän
VectraStream
| where metadata_type == "metadat_dns"
| where rcode_name == "NXDomain"
| summarize Count=count() by tostring(query)
| order by Count desc
| limit 10
Värd och webbplatser med icke-tillfälliga Diffie-Hellman-nyckelutbyte
VectraStream
| where metadata_type == "metadat_dns"
| where cipher contains "TLS_RSA"
| distinct orig_hostname, id_orig_h, id_resp_h, server_name, cipher
| project orig_hostname, id_orig_h, id_resp_h, server_name, cipher
Förutsättningar
Om du vill integrera med AI Vectra Stream kontrollerar du att du har:
- Vectra AI Brain: måste konfigureras för att exportera Stream-metadata i JSON
Installationsanvisningar för leverantör
Kommentar
Den här dataanslutningsappen är beroende av en parser som baseras på en Kusto-funktion för att fungera som förväntat VectraStream som distribueras med Microsoft Sentinel-lösningen.
- Installera och registrera agenten för Linux
Installera Linux-agenten på sperate Linux-instansen.
Loggar samlas bara in från Linux-agenter .
- Konfigurera loggarna som ska samlas in
Följ konfigurationsstegen nedan för att hämta Vectra Stream-metadata till Microsoft Sentinel. Log Analytics-agenten används för att skicka anpassad JSON till Azure Monitor, vilket möjliggör lagring av metadata i en anpassad tabell. Mer information finns i Dokumentation om Azure Monitor.
Ladda ned konfigurationsfilen för Log Analytics-agenten: VectraStream.conf (finns i mappen Anslut or i Vectra-lösningen: https://aka.ms/sentinel-aivectrastream-conf).
Logga in på servern där du har installerat Azure Log Analytics-agenten.
Kopiera VectraStream.conf till mappen /etc/opt/microsoft/omsagent/workspace_id/conf/omsagent.d/.
Redigera VectraStream.conf på följande sätt:
i. konfigurera en alternativ port för att skicka data till, om så önskas. Standardporten är 29009.
ii. ersätt workspace_id med det verkliga värdet för ditt arbetsyte-ID.
Spara ändringar och starta om Azure Log Analytics-agenten för Linux-tjänsten med följande kommando: sudo /opt/microsoft/omsagent/bin/service_control starta om
Konfigurera och ansluta Vectra AI Stream
Konfigurera Vectra AI Brain för att vidarebefordra Stream-metadata i JSON-format till din Microsoft Sentinel-arbetsyta via Log Analytics-agenten.
Från Vectra-användargränssnittet navigerar du till Inställningar > Cognito Stream och Redigera målkonfigurationen:
Välj Utgivare: RAW JSON
Ange serverns IP-adress eller värdnamn (som är värden som kör Log Analytics-agenten)
Ange alla portar till 29009 (den här porten kan ändras om det behövs)
Spara
Ange loggtyper (Välj alla tillgängliga loggtyper)
Klicka på Spara
Nästa steg
Mer information finns i den relaterade lösningen på Azure Marketplace.