你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

适用于 Microsoft Sentinel 的使用旧版代理的[已弃用] Netwrix Auditor 连接器

  • 项目

Netwrix Auditor 数据连接器提供将 Netwrix Auditor(以前的 Stealthbits Privileged Activity Manager) 事件引入 Microsoft Sentinel 的功能。 有关详细信息,请参阅 Netwrix 文档

连接器属性

连接器属性 说明
Kusto 函数别名 NetwrixAuditor
Kusto 函数 URL https://aka.ms/sentinel-netwrixauditor-parser
Log Analytics 表 CommonSecurityLog
数据收集规则支持 工作区转换 DCR
支持的服务 Microsoft Corporation

查询示例

Netwrix Auditor 事件 - 所有活动。

NetwrixAuditor

| sort by TimeGenerated desc

供应商安装说明

注意

此数据连接器依赖于基于 Kusto 函数的 NetwrixAuditor 分析程序以按预期工作。 此分析程序随解决方案安装一起安装。

  1. Linux Syslog 代理配置

安装并配置 Linux 代理,以收集通用事件格式 (CEF) Syslog 消息,并将其转发到 Microsoft Sentinel。

请注意,来自所有区域的数据将存储在所选工作区中

1.1 选择或创建 Linux 计算机

选择或创建一个 Linux 计算机,Microsoft Sentinel 将使用该计算机作为安全解决方案和 Microsoft Sentinel 之间的代理。该计算机可以位于本地环境、Azure 或其他云中。

1.2 在 Linux 计算机上安装 CEF 收集器

在 Linux 计算机上安装 Microsoft Monitoring Agent,然后将计算机配置为侦听所需的端口并将消息转发到 Microsoft Sentinel 工作区。 该 CEF 收集器在端口 514 TCP 上收集 CEF 消息。

  1. 使用以下命令确保已在计算机上安装 Python:python -version。
  1. 你必须在计算机上拥有提升的权限 (sudo)。

运行以下命令安装并应用 CEF 收集器:

sudo wget -O cef_installer.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/CEF/cef_installer.py&&sudo python cef_installer.py {0} {1}

  1. 配置 Netwrix Auditor 以使用 CEF 发送日志

按照说明 从 Netwrix Auditor 配置事件导出。

  1. 验证连接

按照说明验证连接性:

打开 Log Analytics,检查是否使用 CommonSecurityLog 架构收到了日志。

连接将数据流式传输到工作区可能大约需要 20 分钟。

如果未收到日志,请运行以下连接验证脚本:

  1. 使用以下命令确保已在计算机上安装 Python:python -version
  1. 必须在计算机上拥有提升的权限 (sudo)

运行以下命令以验证连接:

sudo wget -O cef_troubleshoot.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/CEF/cef_troubleshoot.py&&sudo python cef_troubleshoot.py {0}

  1. 保护计算机

确保根据组织的安全策略配置计算机的安全性

了解详细信息>

后续步骤

有关详细信息,请转到 Azure 市场中的相关解决方案