你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

Microsoft Sentinel 的 AI Vectra Stream 连接器

  • 项目

使用 AI Vectra Stream 连接器可以通过网络和云将 Vectra 传感器收集的网络元数据发送到 Microsoft Sentinel

这是自动生成的内容。 有关更改,请联系解决方案提供商。

连接器属性

连接器属性 说明
Log Analytics 表 VectraStream_CL
数据收集规则支持 目前不支持
支持的服务 Vectra AI

查询示例

列出所有 DNS 查询

VectraStream 

| where metadata_type == "metadat_dns" 

| project orig_hostname, id_orig_h, resp_hostname, id_resp_h, id_resp_p, qtype_name, ['query'], answers

每种类型的 DNS 请求数

VectraStream 

| where metadata_type == "metadat_dns" 

| summarize count() by type_name

对非现有域发出的前 10 个查询

VectraStream 

| where metadata_type == "metadat_dns" 

| where rcode_name == "NXDomain"

| summarize Count=count() by tostring(query)

| order by Count desc

| limit 10

使用非临时 Diffie-Hellman 密钥交换的主机和网站

VectraStream 

| where metadata_type == "metadat_dns" 

| where cipher contains "TLS_RSA"

| distinct orig_hostname, id_orig_h, id_resp_h, server_name, cipher

| project orig_hostname, id_orig_h, id_resp_h, server_name, cipher

先决条件

若要与 AI Vectra Stream 集成,请确保拥有:

  • Vectra AI Brain:必须配置为以 JSON 格式导出流元数据

供应商安装说明

注意

此数据连接器依赖于一个基于 Kusto 函数的分析程序,作为与 Microsoft Sentinel 解决方案一起部署的预期 VectraStream 工作。

  1. 安装并载入适用于 Linux 的代理

在单独的 Linux 实例上安装 Linux 代理。

只会从 Linux 代理收集日志。

  1. 配置要收集的日志

按照以下配置步骤将 Vectra Stream 元数据引入 Microsoft Sentinel。 利用 Log Analytics 代理将自定义 JSON 发送到 Azure Monitor,以便可以将元数据存储在自定义表中。 有关详细信息,请参阅 Azure Monitor 文档

  1. 下载 Log Analytics 代理的配置文件:VectraStream.conf (位于 Vectra 解决方案中的 Connector 文件夹中:https://aka.ms/sentinel-aivectrastream-conf)。

  2. 登录到安装了 Azure Log Analytics 代理的服务器。

  3. 将 VectraStream.conf 复制到 /etc/opt/microsoft/omsagent/workspace_id/conf/omsagent.d/ 文件夹中。

  4. 如下所示编辑 VectraStream.conf:

    i. 配置要将数据发送到的备用端口(如果需要)。 默认端口为 29009。

    ii. 请将 workspace_id 替换为你的工作区 ID 的实际值。

  5. 保存更改并使用以下命令重启适用于 Linux 的 Azure Log Analytics 代理服务:sudo /opt/microsoft/omsagent/bin/service_control restart

  6. 配置并连接 Vectra AI Stream

配置 Vectra AI Brain,以通过 Log Analytics 代理将 JSON 格式的流元数据转发到 Microsoft Sentinel 工作区。

在 Vectra UI 中,导航到“设置”>“Cognito Stream”并编辑目标配置:

  • 选择“发布者: RAW JSON”

  • 设置服务器 IP 或主机名(运行 Log Analytics 代理的主机)

  • 将所有端口设置为 29009(可根据需要修改此端口)

  • 保存

  • 设置日志类型(选择所有可用的日志类型)

  • 单击“保存”

后续步骤

有关详细信息,请转到 Azure 市场中的相关解决方案