Microsoft Sentinel için Corelight bağlayıcısı
Corelight veri bağlayıcısı, Microsoft Sentinel kullanan olay yanıtlayıcılarının ve tehdit avcılarının daha hızlı ve daha etkili çalışmasını sağlar. Veri bağlayıcısı, Corelight Algılayıcıları aracılığıyla Zeek ve Suricata'dan gelen olayların Microsoft Sentinel'e alımını sağlar.
Bağlan or öznitelikleri
Bağlan or özniteliği | Açıklama |
---|---|
Log Analytics tabloları | Corelight_CL |
Veri toplama kuralları desteği | Şu anda desteklenmiyor |
Destekleyen: | Corelight |
Sorgu örnekleri
İlk 10 İstemci (Kaynak IP)
Corelight
| summarize count() by SrcIpAddr
| top 10 by count_
Satıcı yükleme yönergeleri
Dekont
Bu veri bağlayıcısı, Microsoft Sentinel Çözümü ile dağıtılan Corelight'ın beklendiği gibi çalışması için Kusto İşlevini temel alan bir ayrıştırıcıya bağlıdır.
- Linux veya Windows için aracıyı yükleme ve ekleme
Aracıyı Corelight günlüklerinin oluşturulduğu Sunucuya yükleyin.
Linux veya Windows sunucularında dağıtılan Corelight Server günlükleri Linux veya Windows aracıları tarafından toplanır.
- Toplanacak günlükleri yapılandırma
Corelight günlüklerini Microsoft Sentinel'e almak için aşağıdaki yapılandırma adımlarını izleyin. Bu yapılandırma, Corelight günlükleri için günlük kaynağı bilgileri üzerinde görünürlük sağlamak üzere Corelight modülü tarafından oluşturulan olayları zenginleştirir. Bu adımlarla ilgili diğer ayrıntılar için Azure İzleyici Belgeleri'ne bakın.
Azure Log Analytics aracısını yüklediğiniz sunucuda oturum açın.
corelight.conf dosyasını /etc/opt/microsoft/omsagent/workspace_id/conf/omsagent.d/ klasörüne kopyalayın.
corelight.conf dosyasını aşağıdaki gibi düzenleyin:
i. isterseniz, veri göndermek için alternatif bir bağlantı noktası yapılandırın (3. satır)
ii. workspace_id çalışma alanı kimliğinizin gerçek değeriyle değiştirin (satır 22,23,24,27)
Aşağıdaki komutla değişiklikleri kaydedin ve Linux hizmeti için Azure Log Analytics aracısını yeniden başlatın: sudo /opt/microsoft/omsagent/bin/service_control yeniden başlatma
Corelight Algılayıcısı'nı günlükleri Azure Log Analytics Aracısı'na gönderecek şekilde yapılandırma
Corelight Algılayıcısı'nı TCP üzerinden JSON dışarı aktaracak şekilde yapılandırma hakkında ayrıntılı bilgi için Corelight belgelerine bakın. Önceki adımda yapılandırılan bağlantı noktasını (varsayılan olarak 21234 numaralı bağlantı noktası) kullanarak JSON TCP Sunucusunu Azure Log Analytics Aracısı'nın IP adresiyle yapılandırın
Sonraki adımlar
Daha fazla bilgi için Azure Market ilgili çözüme gidin.