Hitta din Microsoft Sentinel-dataanslutningsapp

I den här artikeln beskrivs hur du distribuerar dataanslutningar i Microsoft Sentinel med en lista över alla tillgängliga dataanslutningar som stöds, samt länkar till allmänna distributionsprocedurer och extra steg som krävs för specifika anslutningsappar.

Så här använder du den här guiden

1. Leta först upp och välj anslutningsappen för din produkt, tjänst eller enhet i rubrikmenyn till höger.

   Den första information du ser för varje anslutning är dess datainmatningsmetod. Metoden som visas kommer att finnas en länk till någon av följande allmänna distributionsprocedurer, som innehåller merparten av den information som du behöver för att ansluta dina datakällor till Microsoft Sentinel:

   Datainmatningsmetod	Länkad artikel med instruktioner
   Tjänst-till-tjänst-integrering i Azure	Anslut till Azure-, Windows-, Microsoft- och Amazon-tjänster
   Common Event Format (CEF) över Syslog	Hämta CEF-formaterade loggar från din enhet eller enhet till Microsoft Sentinel
   API för Microsoft Sentinel-datainsamling	Anslut datakällan till API:et microsoft Sentinel Data Collector för att mata in data
   Azure Functions och REST API	Använd Azure Functions för att ansluta Microsoft Sentinel till din datakälla
   Syslog	Samla in data från Linux-baserade källor med hjälp av Syslog
   Anpassade loggar	Samla in data i anpassade loggformat till Microsoft Sentinel med Log Analytics-agenten

   Anteckning

   Inmatningsmetoden för azure-tjänst-till-tjänst-integreringsdata länkar till tre olika avsnitt i artikeln, beroende på typ av anslutning. Varje anslutningsapps avsnitt nedan anger avsnittet i artikeln som det länkar till.

2. När du distribuerar en specifik anslutningsapp väljer du den artikel som är länkad till dess datainmatningsmetod och använder informationen och den extra vägledningen i relevant avsnitt nedan för att komplettera informationen i artikeln.

Agari Phishing Defense och Brand Protection (förhandsversion)

Aktivera Security Graph API (valfritt)

Med Agari-funktionsappen kan du dela hotinformation med Microsoft Sentinel via Security Graph API. Om du vill använda den här funktionen måste du aktivera anslutningsappen för Sentinel Threat Intelligence Platforms och även registrera ett program i Azure Active Directory.

Den här processen ger dig tre uppgifter för användning när du distribuerar funktionsappen: Graph-klient-ID, Graph-klient-ID och Graph-klienthemlighet (se Programinställningar i tabellen ovan).

Tilldela nödvändiga behörigheter till funktionsappen

Agari-anslutningsappen använder en miljövariabel för att lagra tidsstämplar för loggåtkomst. För att programmet ska kunna skriva till den här variabeln måste behörigheter tilldelas till den system tilldelade identiteten.

1. I Azure Portal du till Funktionsapp.
2. På sidan Funktionsapp väljer du din funktionsapp i listan och väljer sedan Identitet under Inställningar på funktionsappens navigeringsmeny.
3. På fliken System tilldelad anger du Status till På.
4. Välj Spara så visas knappen Azure-rolltilldelningar. Välj den.
5. På skärmen Azure-rolltilldelningar väljer du Lägg till rolltilldelning. Ställ in Omfång på Prenumeration, välj din prenumeration i listrutan Prenumeration och ange Roll till App Configuration dataägare.
6. Välj Spara.

AI Analyst (AIA) av Darktrace (förhandsversion)

Konfigurera CEF-vidarebefordran av loggar för AI-analytiker

Konfigurera Darktrace för att vidarebefordra Syslog-meddelanden i CEF-format till din Azure-arbetsyta via Log Analytics-agenten.

1. I Darktrace Threat Visualizer går du till sidan Systemkonfiguration på huvudmenyn under Admin.
2. Välj Moduler på den vänstra menyn och välj Microsoft Sentinel bland de tillgängliga arbetsflödesintegreringarna.
3. Ett konfigurationsfönster öppnas. Leta upp Microsoft Sentinel Syslog CEF och välj Ny för att visa konfigurationsinställningarna, om de inte redan har exponerats.
4. I fältet Serverkonfiguration anger du platsen för vidarebefordraren och ändrar kommunikationsporten om du vill. Kontrollera att den valda porten är inställd på 514 och tillåts av alla mellanliggande brandväggar.
5. Konfigurera eventuella tröskelvärden för aviseringar, tidsförskjutningar eller extra inställningar efter behov.
6. Granska eventuella extra konfigurationsalternativ som du kanske vill aktivera för att ändra Syslog-syntaxen.
7. Aktivera Skicka aviseringar och spara ändringarna.

AI Vectra Detect (förhandsversion)

Konfigurera CEF-logg vidarebefordran för AI Vectra Detect

Konfigurera Vectra-agenten (X-serien) för att vidarebefordra Syslog-meddelanden i CEF-format till din Microsoft Sentinel-arbetsyta via Log Analytics-agenten.

Från Vectra-gränssnittet går du till Inställningar > Meddelanden och väljer Redigera Syslog-konfiguration. Följ anvisningarna nedan för att konfigurera anslutningen:

• Lägg till ett nytt mål (värdnamnet för vidarebefordraren)
• Ange porten som 514
• Ange Protokoll som UDP
• Ange formatet till CEF
• Ange loggtyper (välj alla tillgängliga loggtyper)
• Välj Spara

Du kan välja knappen Test för att tvinga fram sändning av vissa testhändelser till logg vidarebefordraren.

Mer information finns i Cognito Detect Syslog-guiden, som kan laddas ned från resurssidan i användargränssnittet för identifiering.

Akamai-säkerhetshändelser (förhandsversion)

Alcide kAudit

Alsid för Active Directory

Extra konfiguration för Alsid

1. Konfigurera Syslog-servern

   Du behöver först en Linux Syslog-server som Alsid för AD skickar loggar till. Vanligtvis kan du köra rsyslog på Ubuntu.

   Du kan sedan konfigurera den här servern som du vill, men vi rekommenderar att du kan mata ut AFAD-loggar i en separat fil. Du kan också använda en snabbstartsmall för att distribuera Syslog-servern och Microsoft-agenten åt dig. Om du använder mallen kan du hoppa över installationsanvisningarna för agenten.

2. Konfigurera Alsid för att skicka loggar till syslog-servern

   I Alsid för AD-portalen går du till System, Konfiguration och sedan Syslog. Därifrån kan du skapa en ny Syslog-avisering mot syslog-servern.

   När du har skapat en ny Syslog-avisering kontrollerar du att loggarna har samlats in korrekt på servern i en separat fil. Om du till exempel vill kontrollera loggarna kan du använda knappen Testa konfiguration i Syslog-aviseringskonfigurationen i AFAD. Om du använde snabbstartsmallen lyssnar Syslog-servern som standard på port 514 i UDP och 1514 i TCP, utan TLS.

Amazon Web Services

Amazon Web Services S3 (förhandsversion)

Apache HTTP Server

Apache Tomcat

Aruba ClearPass (förhandsversion)

Atlassian Confluence Audit (förhandsversion)

Atlassian Jira Audit (förhandsversion)

Azure Active Directory

Azure Active Directory Identity Protection

Azure-aktivitet

Uppgradera till den nya Anslutningsappen för Azure-aktivitet

Ändringar i datastrukturen

Den här anslutningsappen ändrade nyligen sin backend-mekanism för insamling av aktivitetslogghändelser. Nu använder den pipelinen för diagnostikinställningar. Om du fortfarande använder den äldre metoden för den här anslutningsappen rekommenderar vi starkt att du uppgraderar till den nya versionen, vilket ger bättre funktioner och bättre konsekvens med resursloggar. Se anvisningarna nedan.

Metoden för diagnostikinställningar skickar samma data som den äldre metoden som skickades från aktivitetsloggtjänsten, även om det har skett några ändringar i strukturen för tabellen AzureActivity.

Här är några av de viktigaste förbättringarna som är resultatet av flytten till pipelinen för diagnostikinställningar:

• Förbättrad inmatningssvarstid (händelseinmatning inom 2–3 minuter från förekomsten i stället för 15–20 minuter).
• Förbättrad tillförlitlighet.
• Förbättrad prestanda.
• Stöd för alla kategorier av händelser som loggas av aktivitetsloggtjänsten (den äldre mekanismen stöder bara en delmängd – till exempel inget stöd för Service Health händelser).
• Hantering i stor skala med Azure Policy.

Mer detaljerad Azure Monitor azure-aktivitetsloggen och pipelinen för diagnostikinställningar finns i dokumentationen om diagnostikinställningar.

Koppla från gammal pipeline

Innan du ställer in den nya anslutningsappen för Azure-aktivitetsloggen måste du koppla bort de befintliga prenumerationerna från den äldre metoden.

1. Från Microsoft Sentinel-navigeringsmenyn väljer du Dataanslutningsappar. I listan över anslutningsappar väljer du Azure-aktivitet och sedan knappen Öppna anslutningssidan längst ned till höger.

2. Under fliken Instruktioner i avsnittet Konfiguration i steg 1 granskar du listan över dina befintliga prenumerationer som är anslutna till den äldre metoden (så att du vet vilka som ska läggas till i den nya) och kopplar från dem samtidigt genom att klicka på knappen Koppla från alla nedan.

3. Fortsätt att konfigurera den nya anslutningsappen med instruktionerna som är länkade i tabellen ovan.

Azure DDoS Protection

Microsoft Defender for Cloud

Microsoft Defender for IoT

Azure Firewall

Azure Information Protection

Mer information finns i dokumentationen Azure Information Protection.

Azure Key Vault

Azure Kubernetes Service (AKS)

Azure SQL Databases

Azure Storage-konto

Information om konfiguration av diagnostikinställningar för lagringskonto

Lagringskontots (överordnade) resurs har andra (underordnade) resurser för varje typ av lagring: filer, tabeller, köer och blobar.

När du konfigurerar diagnostik för ett lagringskonto måste du i sin tur välja och konfigurera:

• Den överordnade kontoresursen, som exporterar transaktionsmåttet.
• Var och en av de underordnade lagringsresurserna, som exporterar alla loggar och mått (se tabellen ovan).

Du ser bara de lagringstyper som du faktiskt har definierat resurser för.

Azure-brandvägg för webbaserade program (WAF)

Barracuda CloudGen-brandväggen

Barracuda WAF

BETTER Mobile Threat Defense (MTD) (förhandsversion)

Utöver säkerhet – beSECURE

BlackBerry CylancePROTECT (förhandsversion)

Broadcom Symantec Data Loss Prevention (DLP) (förhandsversion)

Check Point

Cisco ASA

Cisco Firepower eStreamer (förhandsversion)

Extra konfiguration för Cisco Firepower eStreamer

1. Installera Firepower eNcore-klienten
   Installera och konfigurera Firepower eNcore eStreamer-klienten. Mer information finns i den fullständiga installationsguiden för Cisco.

2. Ladda ned Firepower Connector från GitHub
   Ladda ned den senaste versionen av Firepower eNcore-anslutningsappen för Microsoft Sentinel från Cisco GitHub-lagringsplatsen. Om du planerar att använda python3 använder du python3 eStreamer-anslutningsappen.

3. Skapa en pkcs12-fil med IP-adressen för Azure/VM
   Skapa ett pkcs12-certifikat med den offentliga IP-adressen för den virtuella datorinstansen i Firepower under System > Integration > eStreamer. Mer information finns i installationsguiden.

4. Testa anslutningen mellan Azure/VM-klienten och FMC
   Kopiera pkcs12-filen från FMC till Azure/VM-instansen och kör testverktyget (./encore.sh test) för att säkerställa att en anslutning kan upprättas. Mer information finns i installationsguiden.

5. Konfigurera eNcore för att strömma data till agenten
   Konfigurera eNcore för att strömma data via TCP till Log Analytics-agenten. Den här konfigurationen bör vara aktiverad som standard, men extra portar och strömningsprotokoll kan konfigureras beroende på din nätverkssäkerhetsstatus. Det är också möjligt att spara data i filsystemet. Mer information finns i Konfigurera eNcore.

Cisco Meraki (förhandsversion)

Cisco Umbrella (förhandsversion)

Cisco Unified Computing System (UCS) (förhandsversion)

Citrix Analytics (Security)

Citrix Web App Firewall (WAF) (förhandsversion)

Cognni (förhandsversion)

Kontinuerlig hotövervakning för SAP (förhandsversion)

Händelser för CyberArk Enterprise Password Vault (EPV) (förhandsversion)

Säkerhetsloggar för Cyberpion (förhandsversion)

DNS (förhandsversion)

Se Windows DNS Server (förhandsversion).

Dynamics 365

ESET Enterprise Inspector (förhandsversion)

Skapa en API-användare

1. Logga in på ESET Security Management Center/ESET PROTECT-konsolen med ett administratörskonto, välj fliken Mer och underfliken Användare.
2. Välj knappen LÄGG TILL NY och lägg till en intern användare.
3. Skapa en ny användare för API-kontot. Valfri: Välj en annan hemgrupp än Alla för att begränsa vilka identifieringar som matas in.
4. På fliken Behörighetsuppsättningar tilldelar du behörighetsuppsättningen för Enterprise Inspector-granskaren.
5. Logga ut från administratörskontot och logga in på konsolen med de nya API-autentiseringsuppgifterna för verifiering och logga sedan ut från API-kontot.

ESET Security Management Center (SMC) (förhandsversion)

Konfigurera ESET SMC-loggarna som ska samlas in

Konfigurera rsyslog för att acceptera loggar från din Eset SMC IP-adress.

    sudo -i
    # Set ESET SMC source IP address
    export ESETIP={Enter your IP address}

    # Create rsyslog configuration file
    cat > /etc/rsyslog.d/80-remote.conf << EOF
    \$ModLoad imudp
    \$UDPServerRun 514
    \$ModLoad imtcp
    \$InputTCPServerRun 514
    \$AllowedSender TCP, 127.0.0.1, $ESETIP
    \$AllowedSender UDP, 127.0.0.1, $ESETIP user.=alert;user.=crit;user.=debug;user.=emerg;user.=err;user.=info;user.=notice;user.=warning  @127.0.0.1:25224
    EOF

    # Restart rsyslog
    systemctl restart rsyslog

Konfigurera OMS-agenten för att skicka Eset SMC-data i API-format

För att enkelt identifiera Eset-data skickar du dem till en separat tabell och parsar vid agenten för att förenkla och påskynda din Microsoft Sentinel-fråga.

I filen /etc/opt/microsoft/omsagent/{REPLACEyourworkspaceid}/conf/omsagent.conf ändrar du avsnittet för att skicka data som API-objekt genom att ändra match oms.** typen till out_oms_api .

Följande kod är ett exempel på det fullständiga match oms.** avsnittet:

    <match oms.** docker.**>
      type out_oms_api
      log_level info
      num_threads 5
      run_in_background false

      omsadmin_conf_path /etc/opt/microsoft/omsagent/{REPLACEyourworkspaceid}/conf/omsadmin.conf
      cert_path /etc/opt/microsoft/omsagent/{REPLACEyourworkspaceid}/certs/oms.crt
      key_path /etc/opt/microsoft/omsagent/{REPLACEyourworkspaceid}/certs/oms.key

      buffer_chunk_limit 15m
      buffer_type file
      buffer_path /var/opt/microsoft/omsagent/{REPLACEyourworkspaceid}/state/out_oms_common*.buffer

      buffer_queue_limit 10
      buffer_queue_full_action drop_oldest_chunk
      flush_interval 20s
      retry_limit 10
      retry_wait 30s
      max_retry_wait 9m
    </match>

Ändra OMS-agentkonfigurationen för att fånga taggen oms.api.eset och parsa strukturerade data

Ändra filen /etc/opt/microsoft/omsagent/{REPLACEyourworkspaceid}/conf/omsagent.d/syslog.conf.

Exempel:

    <source>
      type syslog
      port 25224
      bind 127.0.0.1
      protocol_type udp
      tag oms.api.eset
    </source>

    <filter oms.api.**>
      @type parser
      key_name message
      format /(?<message>.*?{.*})/
    </filter>

    <filter oms.api.**>
      @type parser
      key_name message
      format json
    </filter>

Inaktivera automatisk konfiguration och starta om agenten

Exempel:

    # Disable changes to configuration files from Portal
    sudo su omsagent -c 'python /opt/microsoft/omsconfig/Scripts/OMS_MetaConfigHelper.py --disable'

    # Restart agent
    sudo /opt/microsoft/omsagent/bin/service_control restart

    # Check agent logs
    tail -f /var/opt/microsoft/omsagent/log/omsagent.log

Konfigurera Eset SMC för att skicka loggar till anslutningsappen

Konfigurera Eset-loggar med BSD-format och JSON-format.

• Gå till Syslog-serverkonfigurationen och konfigurera Värden (din anslutningsapp), Format BSD och Transport TCP
• Gå till avsnittet Loggning och aktivera JSON

Mer information finns i Eset-dokumentationen.

Avancerad analys i Exabeam (förhandsversion)

ExtraHop Reveal(x)

F5 BIG-IP

F5-nätverk (ASM)

Forcepoint Cloud Access Security Broker (CASB) (förhandsversion)

Forcepoint Cloud Security Gateway (CSG) (förhandsversion)

Forcepoint Data Loss Prevention (DLP) (förhandsversion)

Forcepoint Nästa generations brandvägg (NGFW) (förhandsversion)

ForgeRock Common Audit (CAUD) för CEF (förhandsversion)

Fortinet

Skicka Fortinet-loggar till logg vidarebefordraren

Öppna CLI på Fortinet-installationen och kör följande kommandon:

config log syslogd setting
set status enable
set format cef
set port 514
set server <ip_address_of_Forwarder>
end

• Ersätt serverns IP-adress med IP-adressen för vidarebefordraren.
• Ange syslog-porten till 514 eller porten som angetts på Syslog-daemonen på vidarebefordraren.
• Om du vill aktivera CEF-format i tidiga FortiOS-versioner kan du behöva köra kommandouppsättningen csv disable.

Google-arbetsyta (G-Suite) (förhandsversion)

Extra konfiguration för Google Reports-API:et

Lägg http://localhost:8081/ till under Auktoriserade omdirigerings-URI:er när du skapar autentiseringsuppgifter för webbprogram.

1. Följ instruktionerna för att hämta credentials.json.
2. Hämta Google pickle-strängen genom att köra python-skriptet (på samma sökväg som credentials.json).
3. Kopiera pickle-strängutdata med enkla citattecken och spara. Det behövs för att distribuera funktionsappen.

Illusive Attack Management System (AMS) (förhandsversion)

Imperva WAF Gateway (förhandsversion)

Infoblox Network Identity Operating System (NIOS) (förhandsversion)

Juniper SRX (förhandsversion)

Lookout Mobile Threat Defense (förhandsversion)

Microsoft 365 Defender

Microsoft 365 Insider Risk Management (IRM) (förhandsversion)

Microsoft Defender för Cloud Apps

Microsoft Defender för slutpunkter

Microsoft Defender for Identity

Microsoft Defender for Office 365

Microsoft Office 365

Morphisec UTPP (förhandsversion)

Netskope (förhandsversion)

NGINX HTTP Server (förhandsversion)

NXLog Basic Security Module (BSM) macOS (förhandsversion)

NXLog DNS-loggar (förhandsversion)

NXLog LinuxAudit (förhandsversion)

Okta Single Sign-On (förhandsversion)

Onapsis Platform (förhandsversion)

Konfigurera Onapsis för att skicka CEF-loggar till vidarebefordraren

Se hjälpen för Onapsis i produkten för att konfigurera vidarebefordran av loggar till Log Analytics-agenten.

1. Gå till Konfigurera > integreringar från tredje part > för att skydda larm och följ anvisningarna för Microsoft Sentinel.
2. Kontrollera att Onapsis-konsolen kan nå logg vidarebefordrardatorn där agenten är installerad. Loggar ska skickas till port 514 med TCP.

One Identity Safeguard (förhandsversion)

Oracle WebLogic Server (förhandsversion)

Orca-säkerhet (förhandsversion)

OSSEC (förhandsversion)

Palo Alto Networks

Perimeter 81-aktivitetsloggar (förhandsversion)

Proofpoint On Demand (POD) e-postsäkerhet (förhandsversion)

Proofpoint Targeted Attack Protection (TAP) (förhandsversion)

Pulse Anslut Secure (förhandsversion)

Qualys VM KnowledgeBase (KB) (förhandsversion)

Extra konfiguration för Qualys VM KB

1. Logga in på Qualys Vulnerability Management-konsolen med ett administratörskonto, välj fliken Användare och underfliken Användare.
2. Välj den nedrullningsna menyn Nytt och välj Användare.
3. Skapa ett användarnamn och lösenord för API-kontot.
4. På fliken Användarroller ser du till att kontorollen är inställd på Manager och att åtkomst tillåts till GUI och API
5. Logga ut från administratörskontot och logga in på konsolen med de nya API-autentiseringsuppgifterna för verifiering och logga sedan ut från API-kontot.
6. Logga in på konsolen igen med ett administratörskonto och ändra API-kontona Användarroller, vilket tar bort åtkomsten till det grafiska användargränssnittet.
7. Spara alla ändringar.

Qualys Vulnerability Management (VM) (förhandsversion)

Extra konfiguration för den virtuella Qualys-datorn

1. Logga in på Qualys Vulnerability Management-konsolen med ett administratörskonto, välj fliken Användare och underfliken Användare.
2. Välj den nedrullningsna menyn Nytt och välj Användare.
3. Skapa ett användarnamn och lösenord för API-kontot.
4. På fliken Användarroller ser du till att kontorollen är inställd på Manager och att åtkomst tillåts till GUI och API
5. Logga ut från administratörskontot och logga in på konsolen med de nya API-autentiseringsuppgifterna för verifiering och logga sedan ut från API-kontot.
6. Logga in på konsolen igen med ett administratörskonto och ändra API-kontona Användarroller, vilket tar bort åtkomsten till det grafiska användargränssnittet.
7. Spara alla ändringar.

Manuell distribution – när du har konfigurerat funktionsappen

Konfigurera filen host.json

På grund av den potentiellt stora mängden Qualys-värdidentifieringsdata som matas in kan det orsaka att körningstiden överskrider standardtids gränsen för funktionsappen på fem minuter. Öka standardtidslängden för timeout till högst 10 minuter under förbrukningsplanen för att ge funktionsappen mer tid att köra.

1. I funktionsappen väljer du Funktionsappens namn och väljer App Service Editor sidan.
2. Välj Gå för att öppna redigeraren och välj sedan filen host.json under katalogen wwwroot.
3. Lägg till raden "functionTimeout": "00:10:00", ovanför managedDependancy raden.
4. Se till att SAVED visas i det övre högra hörnet av redigeraren och avsluta sedan redigeraren.

Om en längre timeout-varaktighet krävs kan du överväga att uppgradera till App Service Plan.

Salesforce Service Cloud (förhandsversion)

Säkerhetshändelser via äldre agent (Windows)

Mer information finns i Arbetsbokskonfiguration för oskyddade protokoll.

Se även: Windows-säkerhet via AMA-anslutningsapp baserat på Azure Monitor Agent (AMA)

Konfigurera anslutningsappen Security events/Windows-säkerhet Events för avvikande RDP-inloggningsidentifiering.

SentinelOne (förhandsversion)

Extra konfiguration för SentinelOne

Följ anvisningarna för att hämta autentiseringsuppgifterna.

1. Logga in på SentinelOne-hanteringskonsolen med administratörsanvändarautentiseringsuppgifter.
2. I hanteringskonsolen väljer du Inställningar.
3. I vyn INSTÄLLNINGAR väljer du ANVÄNDARE
4. Välj Ny användare.
5. Ange informationen för den nya konsolanvändaren.
6. I Roll väljer du Admin.
7. Välj SPARA
8. Spara autentiseringsuppgifterna för den nya användaren för användning i dataanslutningen.

SonicWall Firewall (förhandsversion)

Sophos Cloud × (förhandsversion)

Sophos XG-brandväggen (förhandsversion)

Squadra Technologies secRMM

Proxy (förhandsversion)

Symantec Integrated Cyber Defense Exchange (ICDx)

Symantec ProxySG (förhandsversion)

Symantec VIP (förhandsversion)

Postcotic Secret Server (förhandsversion)

Trend Micro Deep Security

Trend Micro TrendingPoint (förhandsversion)

Trend Micro Vision One (XDR) (förhandsversion)

VMware Carbon Black Endpoint Standard (förhandsversion)

VMware ESXi (förhandsversion)

WatchGuard Firebox (förhandsversion)

WireX Network Forensics Platform (förhandsversion)

Windows DNS-server (förhandsversion)

Windows vidarebefordrade händelser (förhandsversion)

Ytterligare anvisningar för att distribuera anslutningsappen Windows vidarebefordrade händelser

Vi rekommenderar att du installerar ASIM-parser (Advanced SIEM Information Model) för att säkerställa fullständigt stöd för data normalisering. Du kan distribuera dessa parsers från Azure-Sentinel GitHub-lagringsplatsen med knappen Deploy to Azure (Distribuera till Azure).

Windows-brandvägg

Windows-säkerhet händelser via AMA

Se även: Säkerhetshändelser via äldre agentanslutning.

Konfigurera anslutningsappen Security events/Windows-säkerhet Events för avvikande RDP-inloggningsidentifiering

Microsoft Sentinel kan använda maskininlärning (ML) för säkerhetshändelser för att identifiera avvikande Remote Desktop Protocol-inloggningsaktivitet (RDP). Scenarierna omfattar:

• Onormal IP-adress – IP-adressen har sällan eller aldrig observerats under de senaste 30 dagarna

• Ovanlig geoplats – IP-adress, ort, land och ASN har sällan eller aldrig observerats under de senaste 30 dagarna

• Ny användare – en ny användare loggar in från en IP-adress och geoplats, båda eller någon av dessa förväntades inte visas baserat på data från de 30 dagarna före.

Konfigurationsanvisningar

1. Du måste samla in RDP-inloggningsdata (händelse-ID 4624) via anslutningsapparna säkerhetshändelser Windows-säkerhet datahändelser. Kontrollera att du har valt en händelseuppsättning förutom "Ingen" eller skapat en datainsamlingsregel som innehåller det här händelse-ID:t för att strömma till Microsoft Sentinel.

2. Från Microsoft Sentinel-portalen väljer du Analys och sedan fliken Regelmallar. Välj regeln för avvikande RDP-inloggningsidentifiering (förhandsversion) och flytta skjutreglaget Status till Aktiverad.

   Anteckning

   Eftersom maskininlärningsalgoritmen kräver 30 dagars data för att skapa en baslinjeprofil för användarbeteende måste du tillåta att 30 dagars Windows-säkerhet-händelsedata samlas in innan några incidenter kan identifieras.

Workplace from Facebook (förhandsversion)

Konfigurera webhooks

1. Logga in på Workplace med administratörsanvändarautentiseringsuppgifter.
2. I administratörspanelen väljer du Integreringar.
3. I vyn Alla integreringar väljer du Skapa anpassad integrering.
4. Ange namn och beskrivning och välj Skapa.
5. I panelen Integreringsinformation visar du apphemligheten och kopierar den.
6. I panelen Integreringsbehörigheter anger du alla läsbehörigheter. Mer information finns på behörighetssidan.

Lägga till återanrops-URL i webhook-konfigurationen

1. Öppna funktionsappens sida, gå till funktionslistan, välj Hämta funktions-URL och kopiera den.
2. Gå tillbaka till Workplace från Facebook. I panelen Konfigurera webhooks anger du på varje flik återanrops-URL som den funktions-URL som du kopierade i det senaste steget och verifiera token som samma värde som du fick under den automatiska distributionen eller angavs under manuell distribution.
3. Välj Spara.

Zimperium Mobile Thread Defense (förhandsversion)

Zimperium Mobile Threat Defense-dataanslutningsappen ansluter Zimperium-hotloggen till Microsoft Sentinel för att visa instrumentpaneler, skapa anpassade aviseringar och förbättra undersökningen. Den här anslutningsappen ger dig bättre inblick i organisationens mobila hotlandskap och förbättrar dina säkerhetsfunktioner.

Mer information finns i Anslut Zimperium till Microsoft Sentinel.

Konfigurera och ansluta Zimperium MTD

1. I zConsole väljer du Hantera i navigeringsfältet.
2. Välj fliken Integreringar.
3. Välj knappen Hotrapportering och sedan knappen Lägg till integreringar.
4. Skapa integreringen:
   1. Från de tillgängliga integreringarna väljer du Microsoft Sentinel.
   2. Ange ditt arbetsyte-ID och primärnyckel och välj Nästa.
   3. Fyll i ett namn för din Microsoft Sentinel-integrering.
   4. Välj en filternivå för de hotdata som du vill skicka till Microsoft Sentinel.
   5. Välj Slutför.

Zoomrapporter (förhandsversion)

Zscaler

Zscaler Private Access (ZPA) (förhandsversion)

Extra konfiguration för privat Zscaler-åtkomst

Följ konfigurationsstegen nedan för att hämta Zscaler Private Access-loggar till Microsoft Sentinel. Mer information finns i dokumentationen Azure Monitor . Zscaler Private Access-loggar levereras via Log Streaming Service (LSS). Detaljerad information finns i LSS-dokumentationen.

1. Konfigurera loggmottagare. När du konfigurerar en loggmottagare väljer du JSON som loggmall.

2. Ladda ned konfigurationsfilen zpa.conf.

   wget -v https://aka.ms/sentinel-zscalerprivateaccess-conf -O zpa.conf
   

3. Logga in på den server där du har installerat Azure Log Analytics-agenten.

4. Kopiera zpa.conf till mappen /etc/opt/microsoft/omsagent/ workspace_id /conf/omsagent.d/.

5. Redigera zpa.conf på följande sätt:

   1. Ange den port som du har angett för Zscaler-loggmottagare att vidarebefordra loggar till (rad 4)
   2. Ersätt workspace_id med det verkliga värdet för ditt arbetsyte-ID (raderna 14,15,16,19)

6. Spara ändringarna och starta om Azure Log Analytics-agenten för Linux-tjänsten med följande kommando:

   sudo /opt/microsoft/omsagent/bin/service_control restart
   

Du hittar värdet för ditt arbetsyte-ID på sidan för ZScaler Private Access-anslutning eller på agenthanteringssidan för Log Analytics-arbetsytan.

Nästa steg

Mer information finns i:

• Microsoft Sentinel-lösningskatalog
• Integrering av hotinformation i Microsoft Sentinel