TH, Cotik gizli sunucunuzu Azure Sentinel 'e bağlama

Önemli

Thincotik gizli sunucu Bağlayıcısı Şu anda Önizleme aşamasındadır. Beta, önizleme veya henüz genel kullanıma sunulmayan Azure özelliklerine uygulanan ek koşullar için Microsoft Azure önizlemeleri için ek kullanım koşulları 'na bakın.

Bu makalede, TH, Cotik gizli sunucu gerecinizi Azure Sentinel 'e nasıl bağlayabileceğiniz açıklanır. Thincotik gizli sunucu verileri Bağlayıcısı, çalışma kitaplarında verileri görüntüleyebilmeniz, özel uyarılar oluşturmak için onu kullanarak ve araştırmayı iyileştirebilmeniz için Azure Sentinel ile bağımsız gizli sunucu günlüklerinizi kolayca bağlamanıza olanak tanır. Thintik ve Azure Sentinel arasındaki tümleştirme, gizli sunucu syslog iletilerini doğru bir şekilde ayrıştırmak ve göstermek için CEF veri bağlayıcısını kullanır.

Not

Veriler, Azure Sentinel çalıştırdığınız çalışma alanının coğrafi konumunda depolanır.

Önkoşullar

  • Azure Sentinel çalışma alanınızda okuma ve yazma izinlerine sahip olmanız gerekir.

  • Çalışma alanı için paylaşılan anahtarlar için okuma izninizin olması gerekir.

  • Thincotik gizli sunucunuzun günlükleri Syslog aracılığıyla dışarı aktarılacak şekilde yapılandırılması gerekir.

Azure Sentinel 'e bağımsız gizli sunucu günlükleri gönderme

Günlük dosyalarını Azure Sentinel 'e almak için, Thtacotik gizli sunucunuzu, CEF formatında Linux tabanlı günlük iletme sunucunuza (rsyslog veya Syslog-ng çalıştıran) Syslog iletileri gönderecek şekilde yapılandırın. Bu sunucuda Log Analytics Aracısı yüklü olacaktır ve Aracı günlükleri Azure Sentinel çalışma alanınıza iletir.

  1. Azure Sentinel gezinti menüsünde veri bağlayıcıları' nı seçin.

  2. Veri bağlayıcıları Galerisi ' nden, Thartik gizli dizi sunucusu (Önizleme) öğesini seçin ve ardından bağlayıcı sayfasını açın.

  3. Yapılandırma altında, yönergeler sekmesindeki yönergeleri izleyin:

    1. 1 altında. Linux Syslog Aracısı yapılandırması -çalışır durumda bir günlük ileticisi yoksa veya başka bir tane gerekiyorsa bu adımı izleyin. Daha ayrıntılı yönergeler ve açıklamalar için bkz. 1. Adım: Azure Sentinel belgelerindeki günlük ileticisini dağıtma .

    2. 2 altında. Ortak olay biçimi (CEF) günlüklerini Syslog aracısına ilet - gizli sunucu yapılandırmayönergelerini izleyin. Bu yapılandırma aşağıdaki öğeleri içermelidir:

      • Günlük hedefi – günlük iletme sunucunuzun ana bilgisayar adı ve/veya IP adresi
      • Protokol ve bağlantı noktası – TCP 514 (Aksi takdirde önerilir), günlük iletme sunucunuzdaki Syslog Daemon öğesinde paralel değişikliği yaptığınızdan emin olun.
      • Günlük biçimi – CEF
      • Günlük türleri: tümü kullanılabilir
    3. 3 ' ün altında . Bağlantıyı doğrulama -bağlayıcı sayfasına komutu kopyalayarak ve günlük ileticisinde çalıştırarak veri alımını doğrulayın. Daha ayrıntılı yönergeler ve açıklamalar için bkz. 3. Adım: Azure Sentinel belgelerindeki bağlantıyı doğrulama.

      Günlüklerinizin Log Analytics görünmeye başlaması 20 dakikaya kadar sürebilir.

Verilerinizi bulun

Başarılı bir bağlantı kurulduktan sonra, veriler günlüklerde, Azure Sentinel bölümünde, commonsecuritylog tablosunda görünür.

Log Analytics bağımsız gizli sunucu verilerini sorgulamak için, aşağıdakileri seçtiğiniz şekilde sorgu penceresine kopyalayın:

CommonSecurityLog 
| where DeviceVendor == "Thycotic Software"

Bazı yararlı çalışma kitapları ve sorgu örnekleri için bağlayıcı sayfasındaki sonraki adımlar sekmesine bakın.

Sonraki adımlar

Bu belgede, TH, Cotik gizli sunucuyu Azure Sentinel 'e bağlamayı öğrendiniz. Azure Sentinel hakkında daha fazla bilgi edinmek için aşağıdaki makalelere bakın: