Microsoft Sentinel için Morphisec UTPP bağlayıcısı
Microsoft Sentinel için Morphisec Data Bağlan or ile güvenlik ürünlerinizdeki önemli içgörüleri tümleştirin ve analiz yeteneklerinizi arama ve bağıntı, tehdit bilgileri ve özelleştirilmiş uyarılar ile genişletin. Morphisec Data Bağlan or, karmaşık dosyasız saldırılar, bellek içi açıklardan yararlanmalar ve sıfır gün gibi günümüzün en gelişmiş tehditlerine görünürlük sağlar. Tek ve çapraz ürün görünümüyle, en önemli varlıklarınızı korumak için gerçek zamanlı, veri destekli kararlar alabilirsiniz
Bağlan or öznitelikleri
| Bağlan or özniteliği | Açıklama |
|---|---|
| Kusto işlev url'si | https://aka.ms/sentinel-morphisecutpp-parser |
| Log Analytics tabloları | CommonSecurityLog (Morphisec) |
| Veri toplama kuralları desteği | Çalışma alanı dönüştürme DCR |
| Destekleyen: | Morphisec |
Sorgu örnekleri
Tehditler konağa göre sayılır
Morphisec
| summarize Times_Attacked=count() by SourceHostName
Tehdit sayısı kullanıcı adına göre
Morphisec
| summarize Times_Attacked=count() by SourceUserName
Yüksek önem derecesinde tehditler
Morphisec
| where toint( LogSeverity) > 7
| order by TimeGenerated
Satıcı yükleme yönergeleri
Bu sorgular ve çalışma kitapları, kusto'ya dayalı Kusto işlevlerine bağımlıdır ve beklendiği gibi çalışır. Sorgularda ve çalışma kitaplarında Kusto işlevleri diğer adı "Morphisec" kullanmak için adımları izleyin. Bu Kusto işlevini almak için adımları izleyin.
- Linux Syslog aracısı yapılandırması
Ortak Olay Biçimi (CEF) Syslog iletilerinizi toplamak ve Bunları Microsoft Sentinel'e iletmek için Linux aracısını yükleyin ve yapılandırın.
Tüm bölgelerdeki verilerin seçili çalışma alanında depolanacağına dikkat edin
1.1 Linux makinesi seçme veya oluşturma
Microsoft Sentinel'in güvenlik çözümünüzle Microsoft Sentinel arasında ara sunucu olarak kullanacağı bir Linux makinesi seçin veya oluşturun. Bu makine şirket içi ortamınızda, Azure'da veya diğer bulutlarda olabilir.
1.2 Linux makinesine CEF toplayıcısını yükleme
Linux makinenize Microsoft Monitoring Agent'ı yükleyin ve makineyi gerekli bağlantı noktasını dinleyecek ve iletileri Microsoft Sentinel çalışma alanınıza iletecek şekilde yapılandırın. CEF toplayıcısı 514 TCP numaralı bağlantı noktasında CEF iletilerini toplar.
- Aşağıdaki komutu kullanarak makinenizde Python olduğundan emin olun: python -version.
- Makinenizde yükseltilmiş izinlere (sudo) sahip olmanız gerekir.
CEF toplayıcısını yüklemek ve uygulamak için aşağıdaki komutu çalıştırın:
sudo wget -O cef_installer.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/CEF/cef_installer.py&&sudo python cef_installer.py {0} {1}
- Ortak Olay Biçimi (CEF) günlüklerini Syslog aracısına iletme
Güvenlik çözümünüzü Syslog iletilerini ara sunucu makinesine CEF biçiminde gönderecek şekilde ayarlayın. Günlükleri makinenin IP adresindeki bağlantı noktası 514 TCP'ye gönderdiğinizden emin olun.
- Bağlantıyı doğrulama
Bağlantınızı doğrulamak için yönergeleri izleyin:
Günlüklerin CommonSecurityLog şeması kullanılarak alınılıp alınmadığını denetlemek için Log Analytics'i açın.
Bağlantının çalışma alanınıza veri akışı gerçekleştirmesi yaklaşık 20 dakika sürebilir.
Günlükler alınmazsa aşağıdaki bağlantı doğrulama betiğini çalıştırın:
- Aşağıdaki komutu kullanarak makinenizde Python olduğundan emin olun: python -version
- Makinenizde yükseltilmiş izinlere (sudo) sahip olmanız gerekir
Bağlantınızı doğrulamak için aşağıdaki komutu çalıştırın:
sudo wget -O cef_troubleshoot.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/CEF/cef_troubleshoot.py&&sudo python cef_troubleshoot.py {0}
- Makinenizin güvenliğini sağlama
Makinenin güvenliğini kuruluşunuzun güvenlik ilkesine göre yapılandırdığından emin olun
Sonraki adımlar
Daha fazla bilgi için Azure Market ilgili çözüme gidin.