Microsoft Sentinel veri bağlayıcınızı bulma

Bu makalede, Microsoft Sentinel 'de veri bağlayıcıları dağıtma, genel dağıtım yordamlarına bağlantılarla birlikte tüm desteklenen, kullanıma hazır veri bağlayıcıları ve belirli bağlayıcılar için gereken ek adımlar listelenmektedir.

Bu kılavuz nasıl kullanılır?

1. İlk olarak, sağ taraftaki başlıklar menüsünde ürününüzün, hizmetinizin veya cihazınızın bağlayıcısını bulun ve seçin.

   Her bağlayıcı için göreceğiniz bilgilerin ilk bölümü, veri alma yöntemidir. Burada görüntülenen Yöntem, veri kaynaklarınızı Microsoft Sentinel 'e bağlamak için gereken bilgilerin çoğunu içeren aşağıdaki genel dağıtım yordamlarından birine bir bağlantı olacaktır:

   Veri alma yöntemi	Yönergelerle bağlantılı Makale
   Azure hizmetten hizmete tümleştirme	Azure, Windows, Microsoft ve Amazon hizmetlerine Bağlan
   Syslog üzerinden ortak olay biçimi (CEF)	Cihazınızdan veya gerecinizden Microsoft Sentinel 'e CEF biçimli Günlükler alın
   Microsoft Sentinel veri toplayıcı API 'SI	veri almak için veri kaynağınızı Microsoft Sentinel veri toplayıcı apı 'sine Bağlan
   Azure Işlevleri ve REST API	Microsoft Sentinel 'i veri kaynağınıza bağlamak için Azure Işlevleri 'ni kullanma
   Syslog	Syslog kullanarak Linux tabanlı kaynaklardan veri toplama
   Özel günlükler	Log Analytics aracısıyla Microsoft Sentinel 'e özel günlük biçimlerinde veri toplayın

   Not

   Azure hizmetten hizmete tümleştirme veri alma yöntemi, bağlayıcı türüne bağlı olarak makalesinin üç farklı bölümüne bağlantı sağlar. Her bağlayıcının aşağıdaki bölümü, bu makalenin bağlandığı bölümü belirler.

2. Belirli bir bağlayıcıyı dağıttığınızda, veri alma yöntemiyle bağlantılı ilgili makaleyi seçin ve bu makaledeki bilgileri tamamlamak için aşağıdaki ilgili bölümde yer alan bilgileri ve ek kılavuzu kullanın.

Agari savunma ve marka koruması (Önizleme)

güvenlik Graph API etkinleştir (isteğe bağlı)

agari İşlev Uygulaması, güvenlik Graph API aracılığıyla tehdit zekasını Microsoft Sentinel ile paylaşmanıza olanak sağlar. Bu özelliği kullanmak için, Sentinel Threat Intelligence platformları bağlayıcısını etkinleştirmeniz ve ayrıca Azure Active Directory bir uygulamayı kaydetmeniz gerekir.

bu işlem, İşlev Uygulaması dağıtımısırasında kullanabileceğiniz üç bilgi verir: Graph kiracı kimliği, Graph istemci kimliği ve Graph istemci parolası (yukarıdaki tabloda bulunan uygulama ayarlarına bakın).

İşlev Uygulaması gerekli izinleri atayın

Agari Bağlayıcısı, günlük erişimi zaman damgalarını depolamak için bir ortam değişkeni kullanır. Uygulamanın bu değişkene yazması için, sistem tarafından atanan kimliğe izinler atanmalıdır.

1. Azure portal işlev uygulaması gidin.
2. İşlev Uygulaması sayfasında, listeden İşlev Uygulaması seçin ve ardından İşlev Uygulaması gezinti menüsünde Ayarlar ' nın altında kimlik ' ü seçin.
3. Sistem atandı sekmesinde durumu Açık olarak ayarlayın.
4. Kaydet' i seçin ve bir Azure rol atamaları düğmesi görüntülenir. Kalem simgesini seçin.
5. Azure rolü atamaları ekranında rol ataması Ekle' yi seçin. Kapsamı abonelik olarak ayarlayın, abonelik açılır listesinden aboneliğinizi seçin ve rolü uygulama yapılandırma veri sahibi olarak ayarlayın.
6. Kaydet’i seçin.

Koyu Izlemeye göre AI analisti (AIA) (Önizleme)

AI Analisti için CEF günlük iletmeyi yapılandırma

Syslog iletilerini CeF biçiminde Log Analytics aracısı aracılığıyla Azure çalışma alanınıza iletmek için Darktrace'i yapılandırma.

1. Darktrace Threat Visualizer içinde, Yönetici altındaki ana menüde Sistem Yapılandırması sayfasına gidin.
2. Sol menüden Modüller'i seçin ve kullanılabilir İş Akışı Tümleştirmeleri'nden Microsoft Sentinel'i seçin.
3. Bir yapılandırma penceresi açılır. Microsoft Sentinel Syslog CEF'yi bulup Yeni'yi seçerek yapılandırma ayarlarını açık değilse ortaya çıkarabilirsiniz.
4. Sunucu yapılandırması alanına günlük ileticinin konumunu girin ve isteğe bağlı olarak iletişim bağlantı noktasını değiştirebilirsiniz. Seçilen bağlantı noktasının 514 olarak ayarlanmış olduğundan ve ara güvenlik duvarları tarafından izin verilenler olduğundan emin olun.
5. Uyarı eşiklerini, zaman farklarını veya ek ayarları gereken şekilde yapılandırma.
6. Syslog söz dizimi üzerinde değişiklik yapmak için etkinleştirmek istediğiniz ek yapılandırma seçeneklerini gözden geçirebilirsiniz.
7. Uyarı Gönder'i etkinleştirin ve değişikliklerinizi kaydedin.

AI Vectra Detect (Önizleme)

AI Vectra Detect için CEF günlük iletmeyi yapılandırma

Syslog iletilerini CEF biçiminde Log Analytics aracısı aracılığıyla Microsoft Sentinel çalışma alanınıza iletmek için Vectra (X Series) Aracısı'ı yapılandırma.

Vectra arabiriminden Bildirim Bildirimi'ne Ayarlar > Syslog yapılandırmasını düzenle'yi seçin. Bağlantıyı ayarlamak için aşağıdaki yönergeleri izleyin:

• Yeni hedef ekleme (günlük ileticinin ana bilgisayar adı)
• Bağlantı Noktasını 514 olarak ayarlayın
• Protokolü UDP olarak ayarlama
• Biçimi CEF olarak ayarlayın
• Günlük türlerini ayarlama (kullanılabilir tüm günlük türlerini seçin)
• Kaydet’i seçin

Test düğmesini seçerek bazı test olaylarının günlük ileticiye gönderilmesini zorlayabilirsiniz.

Daha fazla bilgi için Kullanıcı Arabirimini Algıla'daki kaynak sayfasından indirilebilen Cognito Detect Syslog Guide'a bakın.

Akamai Güvenlik Olayları (Önizleme)

Alcide kAudit

Active Directory için Alsid

Alsid için ek yapılandırma

1. Syslog sunucusunu yapılandırma

   İlk olarak AD için Alsid'in günlükleri gönderecek bir Linux Syslog sunucusuna ihtiyacınız olacaktır. Genellikle Ubuntu üzerinde rsyslog çalıştırarak.

   Daha sonra bu sunucuyu istediğiniz gibi yapılandırabilirsiniz, ancak AFAD günlüklerini ayrı bir dosyada çıkarabilirsiniz. Alternatif olarak, Bir Hızlı Başlangıç şablonu kullanarak Syslog sunucusunu ve Microsoft aracıyı sizin için dağıtabilirsiniz. Şablonu kullanıyorsanız aracı yükleme yönergelerini atlayabilirsiniz.

2. Alsid'i Syslog sunucunuza günlük gönderecek şekilde yapılandırma

   AD için Alsid portalında Sistem, Yapılandırma ve ardından Syslog'a gidin. Buradan, Syslog sunucunuza yönelik yeni bir Syslog uyarısı oluşturabilirsiniz.

   Yeni bir Syslog uyarısı oluşturduktan sonra, günlüklerin sunucunuzda ayrı bir dosyada doğru toplanıp toplanmay olmadığını denetleyin. Örneğin, günlüklerinizi kontrol etmek için AFAD'deki Syslog uyarı yapılandırmasında Yapılandırmayı test edin düğmesini kullanabilirsiniz. Hızlı Başlangıç şablonunu kullandıysanız Syslog sunucusu varsayılan olarak UDP'de 514, TCP'de 1514 ve TLS olmadan 514 bağlantı noktasını dinler.

Amazon Web Hizmetleri

Amazon Web Services S3 (Önizleme)

Apache HTTP sunucusu

Apache Tomcat

Aruba ClearPass (Önizleme)

Atlasme Confluence Audit (Önizleme)

Atlasme Jira denetimi (Önizleme)

Azure Active Directory

Azure Active Directory Kimlik Koruması

Azure etkinliği

Yeni Azure etkinlik bağlayıcısına yükselt

Veri yapısı değişiklikleri

Bu bağlayıcı son zamanlarda etkinlik günlüğü olaylarını toplamak için arka uç mekanizmasını değiştirdi. Artık Tanılama ayarları ardışık düzeni kullanılıyor. Bu bağlayıcı için eski yöntemi kullanmaya devam ediyorsanız, daha iyi işlevsellik ve kaynak günlükleriyle daha fazla tutarlılık sağlayan yeni sürüme yükseltmeniz önemle önerilir. Aşağıdaki yönergelere bakın.

Tanılama ayarları yöntemi, eski metodun etkinlik günlüğü hizmetinden gönderdiği verileri gönderir, ancak AzureActivity tablosunun yapısına bazı değişiklikler yapmış olabilir.

Tanılama ayarları ardışık düzenine yapılan taşınmayla sonuçlanan bazı önemli geliştirmelerden bazıları şunlardır:

• İyileştirilmiş alma gecikmesi (15-20 dakika yerine 2-3 dakikalık oluşumdaki olay alımı).
• Güvenilirlik geliştirildi.
• Gelişmiş performans.
• Etkinlik günlüğü hizmeti tarafından günlüğe kaydedilen tüm olay kategorileri için destek (eski mekanizma yalnızca bir alt kümeyi destekler; Örneğin, hizmet durumu olayları desteği yoktur).
• Azure Ilkesiyle ölçeğinde yönetim.

Azure etkinlik günlüğü ve Tanılama ayarları ardışık düzenihakkında daha ayrıntılı bilgi Için bkz. Azure izleyici belgeleri .

Eski işlem hattı bağlantısını kes

Yeni Azure etkinlik günlüğü bağlayıcısını ayarlamadan önce, eski yöntemden mevcut aboneliklerin bağlantısını kesmeniz gerekir.

1. Microsoft Sentinel gezinti menüsünde veri bağlayıcıları' nı seçin. Bağlayıcılar listesinden Azure etkinliği' ni seçin ve ardından sağ alt köşedeki bağlayıcı sayfasını aç düğmesini seçin.

2. Yönergeler sekmesindeki yapılandırma bölümünde, 1. adım ' da, eski yönteme bağlı mevcut aboneliklerinizin listesini gözden geçirin (Bu nedenle, yeni ' ye hangi nesnelerin ekleneceğini bilmeniz gerekir) ve aşağıdaki Tümünü kes düğmesine tıklayarak bunların tümünü bir kez sökün.

3. Yukarıdaki tabloda bağlantılı yönergelerdenyeni bağlayıcıyı ayarlamaya devam edin.

Azure DDoS Koruması

Bulut için Microsoft Defender

IoT için Microsoft Defender

Azure Güvenlik Duvarı

Azure Information Protection

Daha fazla bilgi için Azure Information Protection belgelerinebakın.

Azure Key Vault

Azure Kubernetes Service (AKS)

Azure SQL Veritabanları

Azure Depolama Hesabı

Depolama hesabı Tanılama Ayarları Yapılandırması hakkında notlar

Depolama hesabı (üst) kaynağı, her bir depolama türü için bu diğer (alt) kaynakları içerir: dosyalar, tablolar, kuyruklar ve Bloblar.

Bir depolama hesabı için tanılamayı yapılandırırken, sırasıyla şunları seçmeniz ve yapılandırmanız gerekir:

• Ana hesap kaynağı, işlem ölçümünü dışarı aktarılıyor.
• Her bir alt depolama türü, tüm günlükleri ve ölçümleri dışa aktararak kaynakları (yukarıdaki tabloya bakın).

Yalnızca gerçekten kaynaklarını tanımladığınız depolama türlerini görürsünüz.

Azure Web Uygulaması Güvenlik Duvarı (WAF)

Barracuda CloudGen Firewall

Barracuda WAF

DAHA ıyı Mobile Threat Defense (MTD) (Önizleme)

Beyond Security beSECURE

BlackBerry CylancePROTECT (Önizleme)

Broadcom Symantec veri kaybı önleme (DLP) (Önizleme)

Denetim Noktası

Cisco ASA

Cisco Firepower eStreamer (Önizleme)

Cisco Firepower eStreamer için ek yapılandırma

1. Firepower eNcore istemcisini yükleme
   Firepower eNcore eStreamer istemcisini yükleyin ve yapılandırın. Daha fazla bilgi için tam Cisco yükleme kılavuzuna bakın.

2. GitHub'den Firepower Bağlayıcısı'GitHub
   Microsoft Sentinel için Firepower eNcore bağlayıcısı'nın en son sürümünü Cisco GitHub indirin. python3 kullanmayı planlıyorsanız python3 eStreamer bağlayıcısı kullanın.

3. Azure/VM IP Adresini kullanarak pkcs12 dosyası oluşturma
   System > Integration > eStreamer altında Firepower'ta VM örneğinin genel IP'sini kullanarak bir pkcs12 sertifikası oluşturun. Daha fazla bilgi için yükleme kılavuzuna bakın.

4. Azure/VM İstemcisi ile FMC Arasındaki Bağlantıları Test Edin
   FmC'den pkcs12 dosyasını Azure/VM örneğine kopyalayın ve bağlantı kurula olduğundan emin olmak için test yardımcı programını (./encore.sh test) çalıştırın. Daha fazla bilgi için kurulum kılavuzuna bakın.

5. Aracıya veri akışı yapmak için eNcore'ı yapılandırma
   eNcore'u TCP üzerinden Log Analytics Aracısı'nın veri akışı için yapılandırma. Bu yapılandırma varsayılan olarak etkinleştirilmelidir, ancak ağ güvenlik duruşuna bağlı olarak ek bağlantı noktaları ve akış protokolleri yalıtabilirsiniz. Verileri dosya sistemine kaydetmek de mümkündür. Daha fazla bilgi için bkz. eNcore yapılandırma.

Cisco Meraki (Önizleme)

Cisco Umbrella (Önizleme)

Cisco Birleşik Bilgi Işlem sistemi (UCS) (Önizleme)

Citrix Analytics (Güvenlik)

Citrix Web uygulaması güvenlik duvarı (WAF) (Önizleme)

Bilni dili (Önizleme)

SAP için sürekli tehdit Izleme (Önizleme)

siark Enterprise parola kasası (epv) olayları (önizleme)

Cyberpion güvenlik günlükleri (Önizleme)

DNS (Önizleme)

bkz. Windows DNS sunucusu (önizleme).

Dynamics 365

ESET Enterprise denetçisi (önizleme)

API kullanıcısı oluşturma

1. Bir yönetici hesabıyla ESET güvenlik yönetimi merkezi/ESET koruma konsolunda oturum açın, diğer sekmesini ve Kullanıcılar alt sekmesini seçin.
2. Yeni Ekle düğmesini seçin ve Yerel Kullanıcı ekleyin.
3. API hesabı için yeni bir kullanıcı oluşturun. Isteğe bağlı: Algılanan algılamaları sınırlamak için Tümü dışında bir giriş grubu seçin.
4. izin kümeleri sekmesinde Enterprise denetçisi gözden geçiren izin kümesini atayın.
5. Yönetici hesabının oturumunu kapatın ve doğrulama için yeni API kimlik bilgileriyle konsolunda oturum açın ve ardından API hesabının oturumunu kapatın.

ESET güvenlik Yönetim Merkezi (SMC) (Önizleme)

Toplanacak ESET günlüklerini yapılandırma

Rsyslog 'yi, ESET SMC IP adresinizdeki günlükleri kabul edecek şekilde yapılandırın.

    sudo -i
    # Set ESET SMC source IP address
    export ESETIP={Enter your IP address}

    # Create rsyslog configuration file
    cat > /etc/rsyslog.d/80-remote.conf << EOF
    \$ModLoad imudp
    \$UDPServerRun 514
    \$ModLoad imtcp
    \$InputTCPServerRun 514
    \$AllowedSender TCP, 127.0.0.1, $ESETIP
    \$AllowedSender UDP, 127.0.0.1, $ESETIP user.=alert;user.=crit;user.=debug;user.=emerg;user.=err;user.=info;user.=notice;user.=warning  @127.0.0.1:25224
    EOF

    # Restart rsyslog
    systemctl restart rsyslog

OMS aracısını, bir API biçiminde ESET SMC verilerini geçirecek şekilde yapılandırma

ESET verilerini kolayca tanımak için, Microsoft Sentinel sorgunuzu basitleştirmek ve hızlandırmak üzere aracıyı ayrı bir tabloya gönderin ve aracıda ayrıştırın.

/Etc/opt/Microsoft/omsagent/{REPLACEyourworkspaceid}/conf/omsagent.conf dosyasında, match oms.** türü Ile değiştirerek verileri API nesneleri olarak gönder bölümünü değiştirin out_oms_api .

Aşağıdaki kod, tam match oms.** bölüm örneğidir:

    <match oms.** docker.**>
      type out_oms_api
      log_level info
      num_threads 5
      run_in_background false

      omsadmin_conf_path /etc/opt/microsoft/omsagent/{REPLACEyourworkspaceid}/conf/omsadmin.conf
      cert_path /etc/opt/microsoft/omsagent/{REPLACEyourworkspaceid}/certs/oms.crt
      key_path /etc/opt/microsoft/omsagent/{REPLACEyourworkspaceid}/certs/oms.key

      buffer_chunk_limit 15m
      buffer_type file
      buffer_path /var/opt/microsoft/omsagent/{REPLACEyourworkspaceid}/state/out_oms_common*.buffer

      buffer_queue_limit 10
      buffer_queue_full_action drop_oldest_chunk
      flush_interval 20s
      retry_limit 10
      retry_wait 30s
      max_retry_wait 9m
    </match>

OMS Aracısı yapılandırmasını, OMS. api. ESET ve ayrıştırılacak verileri Ayrıştır olarak değiştirin

/Etc/opt/Microsoft/omsagent/{REPLACEyourworkspaceid}/conf/omsagent.d/syslog.conf dosyasını değiştirin.

Örnek:

    <source>
      type syslog
      port 25224
      bind 127.0.0.1
      protocol_type udp
      tag oms.api.eset
    </source>

    <filter oms.api.**>
      @type parser
      key_name message
      format /(?<message>.*?{.*})/
    </filter>

    <filter oms.api.**>
      @type parser
      key_name message
      format json
    </filter>

Otomatik yapılandırmayı devre dışı bırak ve aracıyı yeniden Başlat

Örnek:

    # Disable changes to configuration files from Portal
    sudo su omsagent -c 'python /opt/microsoft/omsconfig/Scripts/OMS_MetaConfigHelper.py --disable'

    # Restart agent
    sudo /opt/microsoft/omsagent/bin/service_control restart

    # Check agent logs
    tail -f /var/opt/microsoft/omsagent/log/omsagent.log

Dosyaları bağlayıcıya göndermek için ESET SMC 'ı yapılandırma

, BSD stilini ve JSON biçimini kullanarak ESET günlüklerini yapılandırın.

• Syslog Sunucu yapılandırması ana bilgisayarı (bağlayıcınızı) yapılandırma, BSD biçimlendirme ve aktarım TCP
• Günlüğe kaydetme bölümüne gidin ve JSON 'ı etkinleştirin

Daha fazla bilgi için, ESET belgelerine bakın.

Sınavı gelişmiş analiz (Önizleme)

ExtraHop Reveal(x)

F5 BIG-IP

F5 Ağları (ASM)

Forcepoint Cloud Access Güvenlik Aracısı (CASB) (Önizleme)

Forcepoint Cloud Security Gateway (CSG) (Önizleme)

Forcepoint Veri Kaybı Önleme (DLP) (Önizleme)

Forcepoint Yeni Nesil Güvenlik Duvarı (NGFW) (Önizleme)

CEF için ForgeRock Ortak Denetimi (CAUD) (Önizleme)

Fortinet

Fortinet günlüklerini günlük ileticiye gönderme

Fortinet aletinizin CLI'sını açın ve aşağıdaki komutları çalıştırın:

config log syslogd setting
set status enable
set format cef
set port 514
set server <ip_address_of_Forwarder>
end

• Sunucu ip adresini günlük ileticinin IP adresiyle değiştirin.
• Syslog bağlantı noktasını 514 olarak veya ileticide Syslog daemon'da ayarlanmış bağlantı noktasını ayarlayın.
• FortiOS sürümlerinin başlarında CEF biçimini etkinleştirmek için csv devre dışı bırakma komut kümesi çalıştırmanız gerekir.

Google Çalışma Alanı (G-Suite) (Önizleme)

Google Reports API'si için ek yapılandırma

Web http://localhost:8081/ uygulaması kimlik bilgilerini oluştururken Yetkili yeniden yönlendirme URL'leri altına ekleyin.

1. credentials.json'u almak için yönergeleri izleyin.
2. Google pickle dizesini almak için bu Python betiği (credentials.json ile aynı yolda) çalıştırın.
3. Pickle dize çıkışını tek tırnak içine alın ve kaydedin. İşlev Uygulamasını dağıtmak için gerekli olacak.

Illusive Attack Management System (AMS) (Önizleme)

Imperva WAF Gateway (Önizleme)

Infoblox Ağ Kimliği İşletim Sistemi (NIOS) (Önizleme)

Juniper SRX (Önizleme)

Lookout Mobile Threat Defense (Önizleme)

Microsoft 365 Defender

Microsoft 365 Insider Risk Management (IRM) (Önizleme)

Microsoft Defender for Cloud Apps

Uç nokta için Microsoft Defender

Kimlik için Microsoft Defender

Office 365 için Microsoft Defender

Microsoft Office 365

Morphisec UTPP (Önizleme)

Netskope (Önizleme)

NGINX HTTP Sunucusu (Önizleme)

NXLog Temel Güvenlik Modülü (BSM) macOS (Önizleme)

NXLog DNS Günlükleri (Önizleme)

NXLog LinuxAudit (Önizleme)

Okta Tek Sign-On (Önizleme)

Onapsıs platformu (Önizleme)

Günlük ileticisine CEF günlükleri göndermek için Onapsıs 'yi yapılandırma

Log Analytics aracısına günlük iletmeyi ayarlamak için Onapsıs ürün içi yardım ' a bakın.

1. Bkz. > üçüncü taraf tümleştirmeler > savunmak ve Microsoft Sentinel yönergelerini izleyin.
2. Onapsıs konsolunuzun, aracının yüklü olduğu günlük iletici makinesine ulaşabildiğinizden emin olun. Günlükler TCP kullanılarak 514 numaralı bağlantı noktasına gönderilmelidir.

Bir kimlik koruma (Önizleme)

Oracle WebLogic Server (Önizleme)

Orca güvenliği (Önizleme)

OSSEC (Önizleme)

Palo Alto Networks

Çevre 81 Etkinlik Günlükleri (Önizleme)

Proofpoint On Demand (POD) E-posta Güvenliği (Önizleme)

Proofpoint Hedeflenen Saldırı Koruması (TAP) (Önizleme)

Pulse Bağlan Secure (Önizleme)

Qualys VM Bilgi Bankası (KB) (Önizleme)

Qualys VM KB için ek yapılandırma

1. Qualys Güvenlik Açığı Yönetimi konsolunda yönetici hesabıyla oturum açın, Kullanıcılar sekmesini ve Kullanıcılar alt sekmesini seçin.
2. Yeni açılan menüsünü ve ardından Kullanıcılar'ı seçin.
3. API hesabı için bir kullanıcı adı ve parola oluşturun.
4. Kullanıcı Rolleri sekmesinde hesap rolünün Yönetici olarak ayarlanmış olduğundan ve GUI ve API erişimine izin verili olduğundan emin olun
5. Yönetici hesabıyla oturumunuzu açın ve doğrulama için yeni API kimlik bilgileriyle konsolunda oturum açın, ardından API hesabının oturumunuzu açın.
6. Yönetici hesabı kullanarak konsolda yeniden oturum açın ve API hesaplarını Kullanıcı Rolleri olarak değiştirerek GUI'ye erişimi kaldırabilirsiniz.
7. Tüm değişiklikleri kaydedin.

Qualys Güvenlik Açığı Yönetimi (VM) (Önizleme)

Qualys VM için ek yapılandırma

1. Qualys Güvenlik Açığı Yönetimi konsolunda yönetici hesabıyla oturum açın, Kullanıcılar sekmesini ve Kullanıcılar alt sekmesini seçin.
2. Yeni açılan menüsünü ve ardından Kullanıcılar'ı seçin.
3. API hesabı için bir kullanıcı adı ve parola oluşturun.
4. Kullanıcı Rolleri sekmesinde hesap rolünün Yönetici olarak ayarlanmış olduğundan ve GUI ve API erişimine izin verili olduğundan emin olun
5. Yönetici hesabı oturumuunuzu açın ve doğrulama için yeni API kimlik bilgileriyle konsolda oturum açın, ardından API hesabının oturumuunuzu açın.
6. Yönetici hesabı kullanarak konsolda yeniden oturum açın ve API hesaplarını Kullanıcı Rolleri olarak değiştirerek GUI'ye erişimi kaldırabilirsiniz.
7. Tüm değişiklikleri kaydedin.

El ile dağıtım - İşlev Uygulamasını yapılandırdikten sonra

host.json dosyasını yapılandırma

Büyük olasılıkla çok miktarda Qualys konak algılama verisi alındı, bu durum yürütmenin varsayılan İşlev Uygulaması zaman aşımını beş dakikayı aşacak şekilde çalışmasına neden olabilir. İşlev Uygulamasının yürütülmesi için daha fazla zaman elde etmek için Tüketim Planı altında varsayılan zaman aşımı süresini en fazla 10 dakika olacak şekilde artırabilirsiniz.

1. İşlev Uygulaması'nın İşlev Uygulaması Adı'App Service Düzenleyicisi seçin.
2. Düzenleyiciyi açmak için Git'i seçin ve ardından wwwroot dizininin altındaki host.json dosyasını seçin.
3. Satırın "functionTimeout": "00:10:00", üzerine managedDependancy ekleyin.
4. Düzenleyicinin sağ üst köşesinde SAVED (KAYDEDILDI) göründüğünden emin oldurarak düzenleyiciden çıkın.

Daha uzun bir zaman aşımı süresi gerekirse, App Service Plan'a yükseltmeyi göz önünde bulundurabilirsiniz.

Salesforce Service Cloud (Önizleme)

Eski Aracı aracılığıyla güvenlik olayları (Windows)

Daha fazla bilgi için bkz. Güvenli olmayan protokoller çalışma kitabı kurulumu.

Ayrıca bkz. Windows Güvenliği Aracı (AMA) tabanlı AMA bağlayıcısı Azure İzleyici olayları

Anormal RDP oturum açma algılaması Windows Güvenliği Güvenlik olayları /Windows Güvenliği Olayları bağlayıcısı'na tıklayın.

SentinelOne (Önizleme)

SentinelOne için ek yapılandırma

Kimlik bilgilerini almak için yönergeleri izleyin.

1. Yönetici kullanıcı kimlik bilgileriyle SentinelOne Yönetim Konsolu'da oturum açın.
2. Yönetim Konsolu'Ayarlar.
3. AYARLAR görünümünde KULLANıCıLAR'ı seçin
4. Yeni Kullanıcı'ya seçin.
5. Yeni konsol kullanıcısı için bilgileri girin.
6. Rol'de Yönetici'yi seçin.
7. KAYDET'i seçin
8. Veri bağlayıcısı içinde kullanmak için yeni kullanıcının kimlik bilgilerini kaydedin.

SonicWall Güvenlik Duvarı (Önizleme)

Sophos Cloud Optix (Önizleme)

Sophos XG Güvenlik Duvarı (Önizleme)

Squadra Technologies secRMM

SQUID Proxy (Önizleme)

Symantec tümleşik cyber savunma Exchange (ıcdx)

Symantec ProxySG (Önizleme)

Symantec VIP (Önizleme)

Thncotik gizli sunucu (Önizleme)

Trend Micro Deep Security

Trend mikro TippingPoint (Önizleme)

Trend Micro Vision bir (XDR) (Önizleme)

VMware karbon siyah uç nokta standardı (Önizleme)

VMware ESXi (Önizleme)

WatchGuard Firebox (Önizleme)

Kablolu ağ ağı \ form platformu (Önizleme)

Windows DNS sunucusu (önizleme)

iletilen olayları Windows (önizleme)

Windows iletilen olaylar bağlayıcısını dağıtmaya yönelik ek yönergeler

Veri normalleştirmesi için tam destek sağlamak üzere Gelişmiş SIEM bilgi modeli (ASıM) Çözümleyicileri yüklemenizi öneririz. bu çözümleyicileri Azure-Sentinel GitHub deposundan Azure 'a dağıt düğmesini kullanarak dağıtabilirsiniz.

Windows Güvenlik Duvarı

olay Windows Güvenliği, AMA

Ayrıca bkz: eski aracı Bağlayıcısı aracılığıyla güvenlik olayları .

anormal RDP oturum açma algılaması için güvenlik olayları/Windows Güvenliği olayları bağlayıcısını yapılandırın

Microsoft Sentinel, anormal Uzak Masaüstü Protokolü (RDP) oturum açma etkinliğini belirlemek için, güvenlik olayları verilerine makine öğrenimi (ML) uygulayabilir. Senaryolar şunlardır:

• Olağan DıŞı IP -IP adresi nadiren veya son 30 gün içinde hiç gözlemlenmedi

• Olağan dışı coğrafi konum -IP adresi, şehir, ülke ve ASN nadiren veya son 30 gün içinde hiç gözlemlenmedi

• Yeni Kullanıcı -yeni bir Kullanıcı, bir IP adresi ve coğrafi konumdan oturum açtığında, her ikisinin de 30 günden önceki verilere göre görülmemelidir.

Yapılandırma yönergeleri

1. güvenlik olayları veya Windows Güvenliği olayları veri bağlayıcıları aracılığıyla RDP oturum açma verilerini (olay kimliği 4624) toplamalısınız. "Hiçbiri" nin yanı sıra bir olay kümesini seçtiğinizden emin olun veya Microsoft Sentinel 'de akışa almak için bu olay kimliğini içeren bir veri toplama kuralı oluşturun.

2. Microsoft Sentinel portalından analiz' i ve ardından kural şablonları sekmesini seçin. (Önizleme) anormal RDP oturum açma algılaması kuralını seçin ve durum kaydırıcısını etkin olarak taşıyın.

   Not

   makine öğrenimi algoritması, kullanıcı davranışının temel profilini oluşturmak için 30 günlük veri gerektirdiğinden, tüm olaylar algılanmadan önce 30 günlük Windows Güvenliği olay verilerinin toplanmasına izin vermelisiniz.

Facebook 'tan çalışma alanı (Önizleme)

Web kancalarını yapılandırma

1. Yönetici Kullanıcı kimlik bilgileriyle çalışma alanında oturum açın.
2. Yönetim panelinde tümleştirmeler' i seçin.
3. Tüm tümleştirmeler görünümünde özel tümleştirme oluştur' u seçin.
4. Ad ve açıklama girin ve Oluştur' u seçin.
5. Tümleştirme ayrıntıları panelinde, uygulama gizli anahtarını gösterin ve kopyalayın.
6. Tümleştirme izinleri panelinde tüm okuma izinlerini ayarlayın. Ayrıntılar için izin sayfasına bakın.

Web kancası yapılandırmasına geri çağırma URL 'SI Ekle

1. İşlev Uygulaması sayfasını açın, işlevler listesine gidin, Işlev URL 'sini al' ı seçin ve kopyalayın.
2. Facebook 'Tan çalışma alanına geri dönün. Web kancalarını Yapılandır panelinde, her bir sekmede, geri çağırma URL 'sini, son adımda kopyaladığınız işlev URL 'si olarak ve otomatik dağıtım sırasında aldığınız aynı değer olarak Doğrula veya el ile dağıtım sırasında girdiğiniz değer olarak ayarlayın.
3. Kaydet’i seçin.

Zyium mobil Iş parçacığı savunma (Önizleme)

Zimperium Mobile Threat Defense veri bağlayıcısı, panoları görüntülemek, özel uyarılar oluşturmak ve araştırmayı geliştirmek için Zimperium tehdit günlüğünü Microsoft Sentinel'e bağlar. Bu bağlayıcı, size, kuruluşun mobil tehdit ortamı hakkında daha fazla içgörü sağlar ve güvenlik işlemi özelliklerinizi iyiler.

Daha fazla bilgi için bkz. Bağlan Zimperium'dan Microsoft Sentinel'e.

Zimperium MTD'yi yapılandırma ve bağlama

1. zConsole'da gezinti çubuğunda Yönet'i seçin.
2. Tümleştirmeler sekmesini seçin.
3. Tehdit Raporlama düğmesini ve ardından Tümleştirme Ekle düğmesini seçin.
4. Tümleştirmeyi oluşturun:
   1. Kullanılabilir tümleştirmelerden Microsoft Sentinel'i seçin.
   2. Çalışma alanı kimliği ve birincil anahtarınızı girin, Sonraki'yi seçin.
   3. Microsoft Sentinel tümleştirmeniz için bir ad girin.
   4. Microsoft Sentinel'e göndermenizi istediğiniz tehdit verileri için bir Filtre Düzeyi seçin.
   5. Son'u seçin.

Raporları Yakınlaştırma (Önizleme)

Zscaler

Zscaler Özel Erişim (ZPA) (Önizleme)

Zscaler Özel Erişim için ek yapılandırma

Zscaler Özel Erişim günlüklerini Microsoft Sentinel'e almak için aşağıdaki yapılandırma adımlarını izleyin. Daha fazla bilgi için bkz. Azure İzleyici. Zscaler Özel Erişim günlükleri Günlük Akışı Hizmeti (LSS) aracılığıyla teslim edilir. Ayrıntılı bilgi için LSS belgelerine bakın.

1. Günlük Alıcılarını Yapılandırma. Günlük Alıcısını yapılandırırken Günlük Şablonu olarak JSON'u seçin.

2. zpa.conf yapılandırma dosyasını indirin.

   wget -v https://aka.ms/sentinel-zscalerprivateaccess-conf -O zpa.conf
   

3. Azure Log Analytics aracısını yüklemiş olduğunuz sunucuda oturum açma.

4. zpa.conf'yi /etc/opt/microsoft/omsagent/ workspace_id /conf/omsagent.d/ klasörüne kopyalayın.

5. zpa.conf'yi aşağıdaki gibi düzenleyin:

   1. Zscaler Günlük Alıcılarınızı günlükleri 'ye (4. satır) ilet için ayar istediğiniz bağlantı noktasını belirtin
   2. değerini workspace_id Çalışma Alanı Kimliği'nin gerçek değeriyle değiştirin (satır 14,15,16,19)

6. Değişiklikleri kaydedin ve aşağıdaki komutla Linux için Azure Log Analytics aracıyı yeniden başlatın:

   sudo /opt/microsoft/omsagent/bin/service_control restart
   

Çalışma alanı kimliği değerini ZScaler Özel Erişim bağlayıcısı sayfasında veya Log Analytics çalışma alanı aracılarının yönetim sayfasında bulabilirsiniz.

Sonraki adımlar

Daha fazla bilgi için bkz.

• Microsoft Sentinel çözüm kataloğu
• Microsoft Sentinel’de tehdit bilgileri tümleştirmesi