Microsoft Sentinel için Vectra AI Detect bağlayıcısı
AI Vectra Detect bağlayıcısı, kullanıcıların Panoları görüntülemek, özel uyarılar oluşturmak ve araştırmayı geliştirmek için Vectra Detect günlüklerini Microsoft Sentinel'e bağlamasına olanak tanır. Bu, kullanıcılara kuruluşlarının ağı hakkında daha fazla içgörü sağlar ve güvenlik işlemi özelliklerini geliştirir.
Bağlayıcı öznitelikleri
Bağlayıcı özniteliği | Description |
---|---|
Log Analytics tabloları | CommonSecurityLog (AIVectraDetect) |
Veri toplama kuralları desteği | Çalışma alanı dönüştürme DCR |
Destekleyen | Vectra AI |
Sorgu örnekleri
Tüm günlükler
CommonSecurityLog
| where DeviceVendor == "Vectra Networks"
| where DeviceProduct == "X Series"
| sort by TimeGenerated
Önem Derecelerine Göre Konak Sayısı
CommonSecurityLog
| where DeviceVendor == "Vectra Networks" and DeviceEventClassID == "hsc"
| extend src = coalesce(SourceHostName, SourceIP)
| summarize arg_max(TimeGenerated, *) by src
| extend status = case(FlexNumber1>=50 and FlexNumber2<50, "High", FlexNumber1>=50 and FlexNumber2>=50, "Critical", FlexNumber1<50 and FlexNumber2>=50, "Medium", FlexNumber1>0 and FlexNumber1<50 and FlexNumber2>0 and FlexNumber2<50,"Low", "Other")
| where status != "Other"
| summarize Count = count() by status
En kötü suçlular listesi
CommonSecurityLog
| where DeviceVendor == "Vectra Networks" and DeviceEventClassID == "hsc"
| extend src = coalesce(SourceHostName, SourceIP)
| summarize arg_max(TimeGenerated, *) by src
| sort by FlexNumber1 desc, FlexNumber2 desc
| limit 10
| project row_number(), src, SourceIP, FlexNumber1 , FlexNumber2, TimeGenerated
| project-rename Sr_No = Column1, Source = src, Source_IP = SourceIP, Threat = FlexNumber1, Certainty = FlexNumber2, Latest_Detection = TimeGenerated
İlk 10 Algılama Türü
CommonSecurityLog
| extend ExternalID = coalesce(column_ifexists("ExtID", ""), tostring(ExternalID), "")
| where DeviceVendor == "Vectra Networks" and DeviceEventClassID !in ("health", "audit", "campaigns", "hsc", "asc") and isnotnull(ExternalID)
| summarize Count = count() by DeviceEventClassID
| top 10 by Count desc
Satıcı yükleme yönergeleri
- Linux Syslog aracısı yapılandırması
Linux aracısını yükleyip yapılandırarak Ortak Olay Biçimi (CEF) Syslog iletilerinizi toplayın ve Bunları Microsoft Sentinel'e iletin.
Tüm bölgelerdeki verilerin seçili çalışma alanında depolandığına dikkat edin
1.1 Linux makinesi seçme veya oluşturma
Microsoft Sentinel'in güvenlik çözümünüzle Microsoft Sentinel arasında ara sunucu olarak kullanacağı bir Linux makinesi seçin veya oluşturun. Bu makine şirket içi ortamınızda, Azure'da veya diğer bulutlarda olabilir.
1.2 Linux makinesine CEF toplayıcısını yükleme
Linux makinenize Microsoft Monitoring Agent'ı yükleyin ve makineyi gerekli bağlantı noktasını dinleyecek ve iletileri Microsoft Sentinel çalışma alanınıza iletecek şekilde yapılandırın. CEF toplayıcısı TCP, UDP veya TLS üzerinden 514 numaralı bağlantı noktasında CEF iletilerini toplar.
- Aşağıdaki komutu kullanarak makinenizde Python olduğundan emin olun: python --version.
- Makinenizde yükseltilmiş izinlere (sudo) sahip olmanız gerekir.
CEF toplayıcısını yüklemek ve uygulamak için aşağıdaki komutu çalıştırın:
sudo wget -O cef_installer.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/CEF/cef_installer.py&&sudo python cef_installer.py {0} {1}
- AI Vectra Algılama günlüklerini CEF biçiminde Syslog aracısına iletme
Syslog iletilerini CEF biçiminde Syslog aracısı aracılığıyla Microsoft Sentinel çalışma alanınıza iletmek için Vectra (X Serisi) Aracısı'nı yapılandırın.
Vectra kullanıcı arabiriminden Ayarlar > Bildirimler ve Syslog yapılandırmasını düzenle'ye gidin. Bağlantıyı ayarlamak için aşağıdaki yönergeleri izleyin:
Yeni bir Hedef ekleyin (Microsoft Sentinel Syslog Aracısı'nın çalıştığı konaktır)
Bağlantı Noktasını 514 olarak ayarlayın
Protokolü UDP olarak ayarlama
Biçimi CEF olarak ayarlama
Günlük türlerini ayarlama (Kullanılabilir tüm günlük türlerini seçin)
Kaydet'e tıklayın
Kullanıcı bazı test olaylarını göndermeye zorlamak için Test düğmesine tıklayabilir.
Daha fazla bilgi için, Kullanıcı Arabirimini Algıla'nın yeniden kaynak sayfasından indirilebilen Cognito Detect Syslog Kılavuzu'na bakın.
- Bağlantıyı doğrulama
Bağlantınızı doğrulamak için yönergeleri izleyin:
Günlüklerin CommonSecurityLog şeması kullanılarak alınılıp alınmadığını denetlemek için Log Analytics'i açın.
Bağlantının çalışma alanınıza veri akışı gerçekleştirmesi yaklaşık 20 dakika sürebilir.
Günlükler alınmazsa aşağıdaki bağlantı doğrulama betiğini çalıştırın:
- Aşağıdaki komutu kullanarak makinenizde Python olduğundan emin olun: python --version
- Makinenizde yükseltilmiş izinlere (sudo) sahip olmanız gerekir
Bağlantınızı doğrulamak için aşağıdaki komutu çalıştırın:
sudo wget -O cef_troubleshoot.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/CEF/cef_troubleshoot.py&&sudo python cef_troubleshoot.py {0}
- Makinenizin güvenliğini sağlama
Makinenin güvenliğini kuruluşunuzun güvenlik ilkesine göre yapılandırdığından emin olun
Sonraki adımlar
Daha fazla bilgi için Azure Market ilgili çözüme gidin.