Microsoft Sentinel için ExtraHop Reveal(x) bağlayıcısı

  • Makale

ExtraHop Reveal(x) veri bağlayıcısı, panoları görüntülemek, özel uyarılar oluşturmak ve araştırmayı geliştirmek için Reveal(x) sisteminizi Microsoft Sentinel'e kolayca bağlamanızı sağlar. Bu tümleştirme, kuruluşunuzun ağıyla ilgili içgörüler edinmenizi ve güvenlik işlemi özelliklerinizi geliştirmenizi sağlar.

Bağlan or öznitelikleri

Bağlan or özniteliği Açıklama
Log Analytics tabloları CommonSecurityLog ('ExtraHop')
Veri toplama kuralları desteği Çalışma alanı dönüştürme DCR
Destekleyen: ExtraHop

Sorgu örnekleri

Tüm günlükler


CommonSecurityLog

| where DeviceVendor == "ExtraHop"

         
| sort by TimeGenerated

Tüm algılamalar, yinelenenleri kaldır


CommonSecurityLog

| where DeviceVendor == "ExtraHop"

         
| extend categories = iif(DeviceCustomString2 != "", split(DeviceCustomString2, ","),dynamic(null))
                
| extend StartTime = extract("start=([0-9-]+T[0-9:.]+Z)", 1, AdditionalExtensions,typeof(datetime))
                
| extend EndTime = extract("end=([0-9-]+T[0-9:.]+Z)", 1, AdditionalExtensions,typeof(datetime))
                
| project      
                DeviceEventClassID="ExtraHop Detection",
                Title=Activity,
                Description=Message,
                riskScore=DeviceCustomNumber2,     
                SourceIP,
                DestinationIP,
                detectionID=tostring(DeviceCustomNumber1),
                updateTime=todatetime(ReceiptTime),
                StartTime,
                EndTime,
                detectionURI=DeviceCustomString1,
                categories,
                Computer
                
| summarize arg_max(updateTime, *) by detectionID
                
| sort by detectionID desc

Önkoşullar

ExtraHop Reveal(x) ile tümleştirmek için aşağıdakilere sahip olduğunuzdan emin olun:

  • ExtraHop: Sınırsız (yönetici) ayrıcalıklarına sahip bir kullanıcı hesabına sahip üretici yazılımı sürümü 7.8 veya üzeri olan ExtraHop Discover veya Command gereci.

Satıcı yükleme yönergeleri

  1. Linux Syslog aracısı yapılandırması

Ortak Olay Biçimi (CEF) Syslog iletilerinizi toplamak ve Bunları Microsoft Sentinel'e iletmek için Linux aracısını yükleyin ve yapılandırın.

Tüm bölgelerdeki verilerin seçili çalışma alanında depolanacağına dikkat edin

1.1 Linux makinesi seçme veya oluşturma

Microsoft Sentinel'in güvenlik çözümünüzle Microsoft Sentinel arasında ara sunucu olarak kullanacağı bir Linux makinesi seçin veya oluşturun. Bu makine şirket içi ortamınızda, Azure'da veya diğer bulutlarda olabilir.

1.2 Linux makinesine CEF toplayıcısını yükleme

Linux makinenize Microsoft Monitoring Agent'ı yükleyin ve makineyi gerekli bağlantı noktasını dinleyecek ve iletileri Microsoft Sentinel çalışma alanınıza iletecek şekilde yapılandırın. CEF toplayıcısı 514 TCP numaralı bağlantı noktasında CEF iletilerini toplar.

  1. Aşağıdaki komutu kullanarak makinenizde Python olduğundan emin olun: python --version.
  1. Makinenizde yükseltilmiş izinlere (sudo) sahip olmanız gerekir.

CEF toplayıcısını yüklemek ve uygulamak için aşağıdaki komutu çalıştırın:

sudo wget -O cef_installer.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/CEF/cef_installer.py&&sudo python cef_installer.py {0} {1}

  1. ExtraHop Networks günlüklerini Syslog aracısına iletme

  2. Güvenlik çözümünüzü Syslog iletilerini ara sunucu makinesine CEF biçiminde gönderecek şekilde ayarlayın. Günlükleri makine IP adresinde 514 NUMARALı TCP bağlantı noktasına gönderdiğinizden emin olun.

  3. ExtraHop Algılama SIEM Bağlan veya paketini Reveal(x) sisteminize yüklemek için yönergeleri izleyin. Bu tümleştirme için SIEM Bağlan or gereklidir.

  4. ExtraHop Algılama SIEM Bağlan or - CEF için tetikleyiciyi etkinleştirme

  5. Tetikleyiciyi oluşturduğunuz ODS syslog hedefleri ile güncelleştirme

  6. Reveal(x) sistemi syslog iletilerini Ortak Olay Biçiminde (CEF) biçimlendirip Microsoft Sentinel'e veri gönderir.

  7. Bağlantıyı doğrulama

Bağlantınızı doğrulamak için yönergeleri izleyin:

Günlüklerin CommonSecurityLog şeması kullanılarak alınılıp alınmadığını denetlemek için Log Analytics'i açın.

Bağlantının çalışma alanınıza veri akışı gerçekleştirmesi yaklaşık 20 dakika sürebilir.

Günlükler alınmazsa aşağıdaki bağlantı doğrulama betiğini çalıştırın:

  1. Aşağıdaki komutu kullanarak makinenizde Python olduğundan emin olun: python --version
  1. Makinenizde yükseltilmiş izinlere (sudo) sahip olmanız gerekir

Bağlantınızı doğrulamak için aşağıdaki komutu çalıştırın:

sudo wget -O cef_troubleshoot.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/CEF/cef_troubleshoot.py&&sudo python cef_troubleshoot.py {0}

  1. Makinenizin güvenliğini sağlama

Makinenin güvenliğini kuruluşunuzun güvenlik ilkesine göre yapılandırdığından emin olun

Daha fazla bilgi edinin >

Sonraki adımlar

Daha fazla bilgi için Azure Market ilgili çözüme gidin.