[Inaktuell] Illumio Core via legacy agent-anslutningsappen för Microsoft Sentinel
Illumio Core-dataanslutningsappen ger möjlighet att mata in Illumio Core-loggar i Microsoft Sentinel.
Anslut ellerattribut
| Anslut ellerattribut | Description |
|---|---|
| Log Analytics-tabeller | CommonSecurityLog (IllumioCore) |
| Stöd för regler för datainsamling | DcR för arbetsytetransformering |
| Stöds av | Microsoft |
Exempel på frågor
De 10 främsta händelsetyperna
IllumioCoreEvent
| where isnotempty(EventType)
| summarize count() by EventType
| top 10 by count_
Installationsanvisningar för leverantör
Obs! Den här dataanslutningen är beroende av en parser baserat på en Kusto-funktion för att fungera som förväntat som distribueras som en del av lösningen. Om du vill visa funktionskoden i Log Analytics öppnar du bladet Log Analytics/Microsoft Sentinel-loggar, klickar på Funktioner och söker efter aliaset IllumioCoreEvent och läser in funktionskoden eller klickar här. Funktionen tar vanligtvis 10–15 minuter att aktivera efter installationen/uppdateringen av lösningen och mappar Illumio Core-händelser till Microsoft Sentinel Information Model (ASIM).
- Konfiguration av Linux Syslog-agent
Installera och konfigurera Linux-agenten för att samla in dina Common Event Format-syslog-meddelanden (CEF) och vidarebefordra dem till Microsoft Sentinel.
Observera att data från alla regioner lagras på den valda arbetsytan
1.1 Välj eller skapa en Linux-dator
Välj eller skapa en Linux-dator som Microsoft Sentinel ska använda som proxy mellan din säkerhetslösning och Microsoft Sentinel den här datorn kan finnas i din lokala miljö, Azure eller andra moln.
1.2 Installera CEF-insamlaren på Linux-datorn
Installera Microsoft Monitoring Agent på din Linux-dator och konfigurera datorn så att den lyssnar på den nödvändiga porten och vidarebefordrar meddelanden till din Microsoft Sentinel-arbetsyta. CEF-insamlaren samlar in CEF-meddelanden på port 514 TCP.
- Kontrollera att du har Python på datorn med följande kommando: python -version.
- Du måste ha utökade behörigheter (sudo) på datorn.
Kör följande kommando för att installera och tillämpa CEF-insamlaren:
sudo wget -O cef_installer.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/CEF/cef_installer.py&&sudo python cef_installer.py {0} {1}
- Konfigurera Ilumio Core för att skicka loggar med CEF
2.1 Konfigurera händelseformat
På PCE-webbkonsolmenyn väljer du Inställningar > Händelse Inställningar för att visa dina aktuella inställningar.
Klicka på Redigera för att ändra inställningarna.
Ange Händelseformat till CEF.
(Valfritt) Konfigurera allvarlighetsgrad och kvarhållningsperiod för händelser.
2.2 Konfigurera vidarebefordran av händelser till en extern syslog-server
På PCE-webbkonsolmenyn väljer du Inställningar > Händelse Inställningar.
Klicka på Lägg till.
Klicka på Lägg till lagringsplats.
Slutför dialogrutan Lägg till lagringsplats.
Spara konfigurationen för vidarebefordran av händelsen genom att klicka på OK .
Verifiera anslutningen
Följ anvisningarna för att verifiera anslutningen:
Öppna Log Analytics för att kontrollera om loggarna tas emot med hjälp av CommonSecurityLog-schemat.
Det kan ta cirka 20 minuter innan anslutningen strömmar data till din arbetsyta.
Om loggarna inte tas emot kör du följande anslutningsverifieringsskript:
- Kontrollera att du har Python på datorn med följande kommando: python -version
- Du måste ha utökade behörigheter (sudo) på datorn
Kör följande kommando för att verifiera anslutningen:
sudo wget -O cef_troubleshoot.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/CEF/cef_troubleshoot.py&&sudo python cef_troubleshoot.py {0}
- Skydda datorn
Se till att konfigurera datorns säkerhet enligt organisationens säkerhetsprincip
Nästa steg
Mer information finns i den relaterade lösningen på Azure Marketplace.