[Kullanım dışı] Microsoft Sentinel için Eski Aracı bağlayıcısı aracılığıyla FireEye Ağ Güvenliği (NX)
FireEye Ağ Güvenliği (NX) veri bağlayıcısı, FireEye Ağ Güvenliği günlüklerini Microsoft Sentinel'e alma özelliği sağlar.
Bağlan or öznitelikleri
| Bağlan or özniteliği | Tanım |
|---|---|
| Log Analytics tabloları | CommonSecurityLog (FireEyeNX) |
| Veri toplama kuralları desteği | Çalışma alanı dönüştürme DCR |
| Destekleyen: | Microsoft Corporation |
Sorgu örnekleri
İlk 10 Kaynak
FireEyeNXEvent
| where isnotempty(SrcIpAddr)
| summarize count() by SrcIpAddr
| top 10 by count_
Satıcı yükleme yönergeleri
Dekont
Bu veri bağlayıcısı, Microsoft Sentinel Çözümü ile dağıtılan beklenen FireEyeNXEvent işlevine dayalı ayrıştırıcıya bağlıdır.
Dekont
Bu veri bağlayıcısı FEOS sürüm v9.0 kullanılarak geliştirilmiştir
- Linux Syslog aracısı yapılandırması
Ortak Olay Biçimi (CEF) Syslog iletilerinizi toplamak ve Bunları Microsoft Sentinel'e iletmek için Linux aracısını yükleyin ve yapılandırın.
Tüm bölgelerdeki verilerin seçili çalışma alanında depolanacağına dikkat edin
1.1 Linux makinesi seçme veya oluşturma
Microsoft Sentinel'in güvenlik çözümünüzle Microsoft Sentinel arasında ara sunucu olarak kullanacağı bir Linux makinesi seçin veya oluşturun. Bu makine şirket içi ortamınızda, Azure'da veya diğer bulutlarda olabilir.
1.2 Linux makinesine CEF toplayıcısını yükleme
Linux makinenize Microsoft Monitoring Agent'ı yükleyin ve makineyi gerekli bağlantı noktasını dinleyecek ve iletileri Microsoft Sentinel çalışma alanınıza iletecek şekilde yapılandırın. CEF toplayıcısı 514 TCP numaralı bağlantı noktasında CEF iletilerini toplar.
- Aşağıdaki komutu kullanarak makinenizde Python olduğundan emin olun: python -version.
- Makinenizde yükseltilmiş izinlere (sudo) sahip olmanız gerekir.
CEF toplayıcısını yüklemek ve uygulamak için aşağıdaki komutu çalıştırın:
sudo wget -O cef_installer.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/CEF/cef_installer.py&&sudo python cef_installer.py {0} {1}
- FireEye NX'i CEF kullanarak günlük gönderecek şekilde yapılandırma
CEF kullanarak veri göndermek için aşağıdaki adımları tamamlayın:
2.1. FireEye aletinde yönetici hesabıyla oturum açın
2.2. Ayarlar'a tıklayın
2.3. Bildirimler'e tıklayın
rsyslog'a tıklayın
2.4. Olay türü onay kutusunu işaretleyin
2.5. Rsyslog ayarlarının şunlar olduğundan emin olun:
Varsayılan biçim: CEF
Varsayılan teslim: Olay başına
Varsayılan gönderme türü: Uyarı
- Bağlantıyı doğrulama
Bağlantınızı doğrulamak için yönergeleri izleyin:
Günlüklerin CommonSecurityLog şeması kullanılarak alınılıp alınmadığını denetlemek için Log Analytics'i açın.
Bağlantının çalışma alanınıza veri akışı gerçekleştirmesi yaklaşık 20 dakika sürebilir.
Günlükler alınmazsa aşağıdaki bağlantı doğrulama betiğini çalıştırın:
- Aşağıdaki komutu kullanarak makinenizde Python olduğundan emin olun: python -version
- Makinenizde yükseltilmiş izinlere (sudo) sahip olmanız gerekir
Bağlantınızı doğrulamak için aşağıdaki komutu çalıştırın:
sudo wget -O cef_troubleshoot.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/CEF/cef_troubleshoot.py&&sudo python cef_troubleshoot.py {0}
- Makinenizin güvenliğini sağlama
Makinenin güvenliğini kuruluşunuzun güvenlik ilkesine göre yapılandırdığından emin olun
Sonraki adımlar
Daha fazla bilgi için Azure Market ilgili çözüme gidin.