Microsoft Sentinel için Corelight bağlayıcısı

  • Makale

Corelight veri bağlayıcısı, Microsoft Sentinel kullanan olay yanıtlayıcılarının ve tehdit avcılarının daha hızlı ve daha etkili çalışmasını sağlar. Veri bağlayıcısı, Corelight Algılayıcıları aracılığıyla Zeek ve Suricata'dan gelen olayların Microsoft Sentinel'e alımını sağlar.

Bağlan or öznitelikleri

Bağlan or özniteliği Açıklama
Log Analytics tabloları Corelight_CL
Veri toplama kuralları desteği Şu anda desteklenmiyor
Destekleyen: Corelight

Sorgu örnekleri

İlk 10 İstemci (Kaynak IP)

Corelight

| summarize count() by SrcIpAddr

| top 10 by count_

Satıcı yükleme yönergeleri

Dekont

Bu veri bağlayıcısı, Microsoft Sentinel Çözümü ile dağıtılan Corelight'ın beklendiği gibi çalışması için Kusto İşlevini temel alan bir ayrıştırıcıya bağlıdır.

  1. Linux veya Windows için aracıyı yükleme ve ekleme

Aracıyı Corelight günlüklerinin oluşturulduğu Sunucuya yükleyin.

Linux veya Windows sunucularında dağıtılan Corelight Server günlükleri Linux veya Windows aracıları tarafından toplanır.

  1. Toplanacak günlükleri yapılandırma

Corelight günlüklerini Microsoft Sentinel'e almak için aşağıdaki yapılandırma adımlarını izleyin. Bu yapılandırma, Corelight günlükleri için günlük kaynağı bilgileri üzerinde görünürlük sağlamak üzere Corelight modülü tarafından oluşturulan olayları zenginleştirir. Bu adımlarla ilgili diğer ayrıntılar için Azure İzleyici Belgeleri'ne bakın.

  1. Azure Log Analytics aracısını yüklediğiniz sunucuda oturum açın.

  2. corelight.conf dosyasını /etc/opt/microsoft/omsagent/workspace_id/conf/omsagent.d/ klasörüne kopyalayın.

  3. corelight.conf dosyasını aşağıdaki gibi düzenleyin:

    i. isterseniz, veri göndermek için alternatif bir bağlantı noktası yapılandırın (3. satır)

    ii. workspace_id çalışma alanı kimliğinizin gerçek değeriyle değiştirin (satır 22,23,24,27)

  4. Aşağıdaki komutla değişiklikleri kaydedin ve Linux hizmeti için Azure Log Analytics aracısını yeniden başlatın: sudo /opt/microsoft/omsagent/bin/service_control yeniden başlatma

  5. Corelight Algılayıcısı'nı günlükleri Azure Log Analytics Aracısı'na gönderecek şekilde yapılandırma

Corelight Algılayıcısı'nı TCP üzerinden JSON dışarı aktaracak şekilde yapılandırma hakkında ayrıntılı bilgi için Corelight belgelerine bakın. Önceki adımda yapılandırılan bağlantı noktasını (varsayılan olarak 21234 numaralı bağlantı noktası) kullanarak JSON TCP Sunucusunu Azure Log Analytics Aracısı'nın IP adresiyle yapılandırın

Sonraki adımlar

Daha fazla bilgi için Azure Market ilgili çözüme gidin.