Microsoft Sentinel için Illusive Platform bağlayıcısı

  • Makale

Illusive Platform Bağlan or, Illusive'ın saldırı yüzeyi analizi verilerini ve olay günlüklerini Microsoft Sentinel ile paylaşmanıza ve bu bilgileri kuruluşunuzun saldırı yüzeyi riski (ASM Panosu) hakkında içgörü sağlayan ve kuruluşunuzun ağındaki (ADS Panosu) yetkisiz yanal hareketi izleyen ayrılmış panolarda görüntülemenize olanak tanır.

Bağlan or öznitelikleri

Bağlan or özniteliği Açıklama
Log Analytics tabloları CommonSecurityLog (açıklayıcı)
Veri toplama kuralları desteği Çalışma alanı dönüştürme DCR
Destekleyen: Illusive Networks

Sorgu örnekleri

Tetikleyici Türünün bulunduğu son 30 gün içindeki Olay Sayısı

union CommonSecurityLog 
| where (DeviceEventClassID == "illusive:login" or DeviceEventClassID == "illusive:access" or DeviceEventClassID == "illusive:suspicious") 
| where Message !contains "hasForensics"  
| where TimeGenerated > ago(30d)  
| extend DeviceCustomNumber2 = coalesce(column_ifexists("FieldDeviceCustomNumber2", long(null)), DeviceCustomNumber2, long(null)) 
| summarize by DestinationServiceName, DeviceCustomNumber2  
| summarize incident_count=count() by DestinationServiceName

Son 30 gün içinde en çok uyarı alan 10 ana bilgisayar

union CommonSecurityLog  
| where (DeviceEventClassID == "illusive:login" or DeviceEventClassID == "illusive:access" or DeviceEventClassID == "illusive:suspicious") 
| where Message !contains "hasForensics"  
| where TimeGenerated > ago(30d)  
| extend DeviceCustomNumber2 = coalesce(column_ifexists("FieldDeviceCustomNumber2", long(null)), DeviceCustomNumber2, long(null))   
| summarize by AlertingHost=iff(SourceHostName != "" and SourceHostName != "Failed to obtain", SourceHostName, SourceIP)   ,DeviceCustomNumber2  
| where AlertingHost != "" and AlertingHost != "Failed to obtain"  
| summarize incident_count=count() by AlertingHost  
| order by incident_count  
| limit 10

Satıcı yükleme yönergeleri

  1. Linux Syslog aracısı yapılandırması

Ortak Olay Biçimi (CEF) Syslog iletilerinizi toplamak ve Bunları Microsoft Sentinel'e iletmek için Linux aracısını yükleyin ve yapılandırın.

Tüm bölgelerdeki verilerin seçili çalışma alanında depolanacağına dikkat edin

1.1 Linux makinesi seçme veya oluşturma

Microsoft Sentinel'in güvenlik çözümünüzle Microsoft Sentinel arasında ara sunucu olarak kullanacağı bir Linux makinesi seçin veya oluşturun. Bu makine şirket içi ortamınızda, Azure'da veya diğer bulutlarda olabilir.

1.2 Linux makinesine CEF toplayıcısını yükleme

Linux makinenize Microsoft Monitoring Agent'ı yükleyin ve makineyi gerekli bağlantı noktasını dinleyecek ve iletileri Microsoft Sentinel çalışma alanınıza iletecek şekilde yapılandırın. CEF toplayıcısı 514 TCP numaralı bağlantı noktasında CEF iletilerini toplar.

  1. Aşağıdaki komutu kullanarak makinenizde Python olduğundan emin olun: python -version.
  1. Makinenizde yükseltilmiş izinlere (sudo) sahip olmanız gerekir.

CEF toplayıcısını yüklemek ve uygulamak için aşağıdaki komutu çalıştırın:

sudo wget -O cef_installer.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/CEF/cef_installer.py&&sudo python cef_installer.py {0} {1}

  1. Illusive Common Event Format (CEF) günlüklerini Syslog aracısına iletme

  2. Güvenlik çözümünüzü Syslog iletilerini ara sunucu makinesine CEF biçiminde gönderecek şekilde ayarlayın. Günlükleri makinenin IP adresindeki bağlantı noktası 514 TCP'ye gönderdiğinizden emin olun.

  1. Illusive Console'da oturum açın ve Ayarlar-Reporting'e> gidin.
  2. Syslog Sunucularını Bulma
  3. Aşağıdaki bilgileri verin:
  1. Ana bilgisayar adı: Linux Syslog aracısı IP adresi veya FQDN ana bilgisayar adı
  2. Bağlantı noktası: 514
  3. Protokol: TCP
  4. Denetim iletileri: Denetim iletilerini sunucu 5'e gönderin. Syslog sunucusunu eklemek için Ekle'ye tıklayın.
  1. Bağlantıyı doğrulama

Bağlantınızı doğrulamak için yönergeleri izleyin:

Günlüklerin CommonSecurityLog şeması kullanılarak alınılıp alınmadığını denetlemek için Log Analytics'i açın.

Bağlantının çalışma alanınıza veri akışı gerçekleştirmesi yaklaşık 20 dakika sürebilir.

Günlükler alınmazsa aşağıdaki bağlantı doğrulama betiğini çalıştırın:

  1. Aşağıdaki komutu kullanarak makinenizde Python olduğundan emin olun: python -version
  1. Makinenizde yükseltilmiş izinlere (sudo) sahip olmanız gerekir

Bağlantınızı doğrulamak için aşağıdaki komutu çalıştırın:

sudo wget O cef_troubleshoot.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/CEF/cef_troubleshoot.py&&sudo python cef_troubleshoot.py {0}

  1. Makinenizin güvenliğini sağlama

Makinenin güvenliğini kuruluşunuzun güvenlik ilkesine göre yapılandırdığından emin olun

Daha fazla bilgi edinin >

Sonraki adımlar

Daha fazla bilgi için Azure Market ilgili çözüme gidin.