Microsoft Sentinel için Illusive Platform bağlayıcısı
Illusive Platform Bağlan or, Illusive'ın saldırı yüzeyi analizi verilerini ve olay günlüklerini Microsoft Sentinel ile paylaşmanıza ve bu bilgileri kuruluşunuzun saldırı yüzeyi riski (ASM Panosu) hakkında içgörü sağlayan ve kuruluşunuzun ağındaki (ADS Panosu) yetkisiz yanal hareketi izleyen ayrılmış panolarda görüntülemenize olanak tanır.
Bağlan or öznitelikleri
Bağlan or özniteliği | Açıklama |
---|---|
Log Analytics tabloları | CommonSecurityLog (açıklayıcı) |
Veri toplama kuralları desteği | Çalışma alanı dönüştürme DCR |
Destekleyen: | Illusive Networks |
Sorgu örnekleri
Tetikleyici Türünün bulunduğu son 30 gün içindeki Olay Sayısı
union CommonSecurityLog
| where (DeviceEventClassID == "illusive:login" or DeviceEventClassID == "illusive:access" or DeviceEventClassID == "illusive:suspicious")
| where Message !contains "hasForensics"
| where TimeGenerated > ago(30d)
| extend DeviceCustomNumber2 = coalesce(column_ifexists("FieldDeviceCustomNumber2", long(null)), DeviceCustomNumber2, long(null))
| summarize by DestinationServiceName, DeviceCustomNumber2
| summarize incident_count=count() by DestinationServiceName
Son 30 gün içinde en çok uyarı alan 10 ana bilgisayar
union CommonSecurityLog
| where (DeviceEventClassID == "illusive:login" or DeviceEventClassID == "illusive:access" or DeviceEventClassID == "illusive:suspicious")
| where Message !contains "hasForensics"
| where TimeGenerated > ago(30d)
| extend DeviceCustomNumber2 = coalesce(column_ifexists("FieldDeviceCustomNumber2", long(null)), DeviceCustomNumber2, long(null))
| summarize by AlertingHost=iff(SourceHostName != "" and SourceHostName != "Failed to obtain", SourceHostName, SourceIP) ,DeviceCustomNumber2
| where AlertingHost != "" and AlertingHost != "Failed to obtain"
| summarize incident_count=count() by AlertingHost
| order by incident_count
| limit 10
Satıcı yükleme yönergeleri
- Linux Syslog aracısı yapılandırması
Ortak Olay Biçimi (CEF) Syslog iletilerinizi toplamak ve Bunları Microsoft Sentinel'e iletmek için Linux aracısını yükleyin ve yapılandırın.
Tüm bölgelerdeki verilerin seçili çalışma alanında depolanacağına dikkat edin
1.1 Linux makinesi seçme veya oluşturma
Microsoft Sentinel'in güvenlik çözümünüzle Microsoft Sentinel arasında ara sunucu olarak kullanacağı bir Linux makinesi seçin veya oluşturun. Bu makine şirket içi ortamınızda, Azure'da veya diğer bulutlarda olabilir.
1.2 Linux makinesine CEF toplayıcısını yükleme
Linux makinenize Microsoft Monitoring Agent'ı yükleyin ve makineyi gerekli bağlantı noktasını dinleyecek ve iletileri Microsoft Sentinel çalışma alanınıza iletecek şekilde yapılandırın. CEF toplayıcısı 514 TCP numaralı bağlantı noktasında CEF iletilerini toplar.
- Aşağıdaki komutu kullanarak makinenizde Python olduğundan emin olun: python -version.
- Makinenizde yükseltilmiş izinlere (sudo) sahip olmanız gerekir.
CEF toplayıcısını yüklemek ve uygulamak için aşağıdaki komutu çalıştırın:
sudo wget -O cef_installer.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/CEF/cef_installer.py&&sudo python cef_installer.py {0} {1}
Illusive Common Event Format (CEF) günlüklerini Syslog aracısına iletme
Güvenlik çözümünüzü Syslog iletilerini ara sunucu makinesine CEF biçiminde gönderecek şekilde ayarlayın. Günlükleri makinenin IP adresindeki bağlantı noktası 514 TCP'ye gönderdiğinizden emin olun.
- Illusive Console'da oturum açın ve Ayarlar-Reporting'e> gidin.
- Syslog Sunucularını Bulma
- Aşağıdaki bilgileri verin:
- Ana bilgisayar adı: Linux Syslog aracısı IP adresi veya FQDN ana bilgisayar adı
- Bağlantı noktası: 514
- Protokol: TCP
- Denetim iletileri: Denetim iletilerini sunucu 5'e gönderin. Syslog sunucusunu eklemek için Ekle'ye tıklayın.
- Bağlantıyı doğrulama
Bağlantınızı doğrulamak için yönergeleri izleyin:
Günlüklerin CommonSecurityLog şeması kullanılarak alınılıp alınmadığını denetlemek için Log Analytics'i açın.
Bağlantının çalışma alanınıza veri akışı gerçekleştirmesi yaklaşık 20 dakika sürebilir.
Günlükler alınmazsa aşağıdaki bağlantı doğrulama betiğini çalıştırın:
- Aşağıdaki komutu kullanarak makinenizde Python olduğundan emin olun: python -version
- Makinenizde yükseltilmiş izinlere (sudo) sahip olmanız gerekir
Bağlantınızı doğrulamak için aşağıdaki komutu çalıştırın:
sudo wget O cef_troubleshoot.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/CEF/cef_troubleshoot.py&&sudo python cef_troubleshoot.py {0}
- Makinenizin güvenliğini sağlama
Makinenin güvenliğini kuruluşunuzun güvenlik ilkesine göre yapılandırdığından emin olun
Sonraki adımlar
Daha fazla bilgi için Azure Market ilgili çözüme gidin.