Microsoft Sentinel için Awake Security bağlayıcısı

  • Makale

Awake Security CEF bağlayıcısı, kullanıcıların Algılama Modeli eşleşmelerini Uyanık Güvenlik Platformu'ndan Microsoft Sentinel'e göndermesine olanak tanır. Tehditleri ağ algılama ve yanıt gücüyle hızla düzeltin ve özellikle ağınızdaki kullanıcılar, cihazlar ve uygulamalar dahil olmak üzere yönetilmeyen varlıklara yönelik derin görünürlükle araştırmalarınızı hızlandırın. Bağlayıcı ayrıca mevcut güvenlik işlemleri iş akışlarınızla uyumlu ağ güvenliği odaklı özel uyarılar, olaylar, çalışma kitapları ve not defterleri oluşturulmasını sağlar.

Bağlayıcı öznitelikleri

Bağlayıcı özniteliği Description
Log Analytics tabloları CommonSecurityLog (AwakeSecurity)
Veri toplama kuralları desteği Çalışma alanı dönüştürme DCR
Destekleyen Arista - Uyanık Güvenlik

Sorgu örnekleri

Önem Derecelerine Göre En İyi 5 Saldırgan Model Eşleşmesi

union CommonSecurityLog

| where DeviceVendor == "Arista Networks" and DeviceProduct == "Awake Security"

| summarize  TotalActivities=sum(EventCount) by Activity,LogSeverity

| top 5 by LogSeverity desc

Cihaz Risk Puanına Göre İlk 5 Cihaz

CommonSecurityLog 
| where DeviceVendor == "Arista Networks" and DeviceProduct == "Awake Security" 
| extend DeviceCustomNumber1 = coalesce(column_ifexists("FieldDeviceCustomNumber1", long(null)), DeviceCustomNumber1, long(null)) 
| summarize MaxDeviceRiskScore=max(DeviceCustomNumber1),TimesAlerted=count() by SourceHostName=coalesce(SourceHostName,"Unknown") 
| top 5 by MaxDeviceRiskScore desc

Satıcı yükleme yönergeleri

  1. Linux Syslog aracısı yapılandırması

Linux aracısını yükleyip yapılandırarak Ortak Olay Biçimi (CEF) Syslog iletilerinizi toplayın ve Bunları Microsoft Sentinel'e iletin.

Tüm bölgelerdeki verilerin seçili çalışma alanında depolandığına dikkat edin

1.1 Linux makinesi seçme veya oluşturma

Microsoft Sentinel'in güvenlik çözümünüzle Microsoft Sentinel arasında ara sunucu olarak kullanacağı bir Linux makinesi seçin veya oluşturun. Bu makine şirket içi ortamınızda, Azure'da veya diğer bulutlarda olabilir.

1.2 Linux makinesine CEF toplayıcısını yükleme

Linux makinenize Microsoft Monitoring Agent'ı yükleyin ve makineyi gerekli bağlantı noktasını dinleyecek ve iletileri Microsoft Sentinel çalışma alanınıza iletecek şekilde yapılandırın. CEF toplayıcısı 514 TCP numaralı bağlantı noktasında CEF iletilerini toplar.

  1. Aşağıdaki komutu kullanarak makinenizde Python olduğundan emin olun: python -version.
  1. Makinenizde yükseltilmiş izinlere (sudo) sahip olmanız gerekir.

CEF toplayıcısını yüklemek ve uygulamak için aşağıdaki komutu çalıştırın:

sudo wget -O cef_installer.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/CEF/cef_installer.py&&sudo python cef_installer.py {0} {1}

  1. İleriye Doğru Uyanık Saldırgan Model sonuçları CEF toplayıcısı ile eşleştiriyor.

Uyanmış Saldırgan Model eşleştirme sonuçlarını IP 192.168.0.1'de TCP bağlantı noktası 514'te dinleyen bir CEF toplayıcısına iletmek için aşağıdaki adımları gerçekleştirin:

  • Uyanık kullanıcı arabiriminde Algılama Yönetimi Becerileri sayfasına gidin.
  • + Yeni Beceri Ekle'ye tıklayın.
  • İfade alanını şu şekilde ayarlayın:

integrations.cef.tcp { hedef: "192.168.0.1", bağlantı noktası: 514, güvenli: false, önem derecesi: Uyarı }

  • Başlık alanını şöyle açıklayıcı bir adla ayarlayın:

İleriYe Doğru Uyan Saldırgan Model, Sonucu Microsoft Sentinel ile eşleştirin.

  • Başvuru Tanımlayıcısı'nı aşağıdaki gibi kolayca bulunabilen bir değere ayarlayın:

integrations.cef.sentinel-forwarder

  • Kaydet’e tıklayın.

Not: Tanımı ve diğer alanları kaydettikten sonra birkaç dakika içinde sistem algılandıklarında CEF olay toplayıcısına yeni model eşleştirme sonuçları göndermeye başlar.

Daha fazla bilgi için, Uyanık kullanıcı arabirimindeki Yardım Belgelerindeki Güvenlik Bilgileri ve Olay Yönetimi Anında İletme Tümleştirmesi Ekleme sayfasına bakın.

  1. Bağlantıyı doğrulama

Bağlantınızı doğrulamak için yönergeleri izleyin:

Günlüklerin CommonSecurityLog şeması kullanılarak alınılıp alınmadığını denetlemek için Log Analytics'i açın.

Bağlantının çalışma alanınıza veri akışı gerçekleştirmesi yaklaşık 20 dakika sürebilir.

Günlükler alınmazsa aşağıdaki bağlantı doğrulama betiğini çalıştırın:

  1. Aşağıdaki komutu kullanarak makinenizde Python olduğundan emin olun: python -version
  1. Makinenizde yükseltilmiş izinlere (sudo) sahip olmanız gerekir

Bağlantınızı doğrulamak için aşağıdaki komutu çalıştırın:

sudo wget -O cef_troubleshoot.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/CEF/cef_troubleshoot.py&&sudo python cef_troubleshoot.py {0}

  1. Makinenizin güvenliğini sağlama

Makinenin güvenliğini kuruluşunuzun güvenlik ilkesine göre yapılandırdığından emin olun

Daha fazla bilgi edinin >

Sonraki adımlar

Daha fazla bilgi için Azure Market ilgili çözüme gidin.