Microsoft Sentinel için AI Vectra Stream bağlayıcısı
AI Vectra Stream bağlayıcısı, Ağ ve Bulut genelinde Vectra Algılayıcıları tarafından toplanan Ağ Meta Verilerinin Microsoft Sentinel'e gönderilmesini sağlar
Bağlayıcı öznitelikleri
| Bağlayıcı özniteliği | Açıklama |
|---|---|
| Log Analytics tabloları | VectraStream_CL |
| Veri toplama kuralları desteği | Şu anda desteklenmiyor |
| Destekleyen: | Vectra AI |
Sorgu örnekleri
Tüm DNS Sorgularını Listeleme
VectraStream
| where metadata_type == "metadat_dns"
| project orig_hostname, id_orig_h, resp_hostname, id_resp_h, id_resp_p, qtype_name, ['query'], answers
Tür başına DNS isteği sayısı
VectraStream
| where metadata_type == "metadat_dns"
| summarize count() by type_name
Mevcut olmayan etki alanına yapılan sorgunun ilk 10'u
VectraStream
| where metadata_type == "metadat_dns"
| where rcode_name == "NXDomain"
| summarize Count=count() by tostring(query)
| order by Count desc
| limit 10
Kısa ömürlü olmayan Diffie-Hellman anahtar değişimi kullanan ana bilgisayar ve Web siteleri
VectraStream
| where metadata_type == "metadat_dns"
| where cipher contains "TLS_RSA"
| distinct orig_hostname, id_orig_h, id_resp_h, server_name, cipher
| project orig_hostname, id_orig_h, id_resp_h, server_name, cipher
Önkoşullar
AI Vectra Stream ile tümleştirmek için aşağıdakilere sahip olduğunuzdan emin olun:
- Vectra AI Brain: Stream meta verilerini JSON'da dışarı aktarmak için yapılandırılmalıdır
Satıcı yükleme yönergeleri
Not
Bu veri bağlayıcısı, Microsoft Sentinel Çözümü ile dağıtılan beklenen VectraStream'in çalışması için Kusto İşlevini temel alan bir ayrıştırıcıya bağlıdır.
- Aracıyı Linux için yükleme ve ekleme
Sperate Linux örneğine Linux aracısını yükleyin.
Günlükler yalnızca Linux aracılarından toplanır.
- Toplanacak günlükleri yapılandırma
Vectra Stream meta verilerini Microsoft Sentinel'e almak için aşağıdaki yapılandırma adımlarını izleyin. Log Analytics aracısı, Azure İzleyici'ye özel JSON göndermek için kullanılır ve meta verilerin özel bir tabloda depolanmasını sağlar. Daha fazla bilgi için Bkz. Azure İzleyici Belgeleri.
Log Analytics aracısı için yapılandırma dosyasını indirin: VectraStream.conf (Vectra çözümü içindeki Bağlayıcı klasöründe bulunur: https://aka.ms/sentinel-aivectrastream-conf).
Azure Log Analytics aracısını yüklediğiniz sunucuda oturum açın.
VectraStream.conf dosyasını /etc/opt/microsoft/omsagent/workspace_id/conf/omsagent.d/ klasörüne kopyalayın.
VectraStream.conf dosyasını aşağıdaki gibi düzenleyin:
i. isterseniz veri göndermek için alternatif bir bağlantı noktası yapılandırın. Varsayılan bağlantı noktası 29009'dir.
ii. workspace_id değerini Çalışma Alanı Kimliğinizin gerçek değeriyle değiştirin.
Değişiklikleri kaydedin ve şu komutla Linux hizmeti için Azure Log Analytics aracısını yeniden başlatın: sudo /opt/microsoft/omsagent/bin/service_control yeniden başlatma
Vectra AI Stream'i yapılandırma ve bağlama
Vectra AI Brain'i, JSON biçimindeki Stream meta verilerini Log Analytics Aracısı aracılığıyla Microsoft Sentinel çalışma alanınıza iletecek şekilde yapılandırın.
Vectra kullanıcı arabiriminden Ayarlar > Cognito Stream'e gidin ve Hedef yapılandırmayı düzenleyin:
Yayımcı: RAW JSON'ı seçin
Sunucu IP'sini veya ana bilgisayar adını (Log Analytics Aracısı'nı çalıştıran konak) ayarlayın
Tüm bağlantı noktasını 29009 olarak ayarlayın (gerekirse bu bağlantı noktası değiştirilebilir)
Kaydet
Günlük türlerini ayarlama (Kullanılabilir tüm günlük türlerini seçin)
Kaydet'e tıklayın
Sonraki adımlar
Daha fazla bilgi için Azure Market ilgili çözüme gidin.