你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

适用于 Microsoft Sentinel 的 Trend Micro Deep Security 连接器

  • 项目

通过 Trend Micro Deep Security 连接器,可以轻松地将 Deep Security 日志与 Microsoft Sentinel 连接,以查看仪表板、创建自定义警报和改进调查。 这样,用户就可以更深入地了解组织的网络/系统并改进安全操作功能。

连接器属性

连接器属性 说明
Kusto 函数 URL https://aka.ms/TrendMicroDeepSecurityFunction
Log Analytics 表 CommonSecurityLog (TrendMicroDeepSecurity)
数据收集规则支持 工作区转换 DCR
支持的服务 Trend Micro

查询示例

入侵防护事件


TrendMicroDeepSecurity

         
| where DeepSecurityModuleName == "Intrusion Prevention"
         
| sort by TimeGenerated

完整性监视事件


TrendMicroDeepSecurity

         
| where DeepSecurityModuleName == "Integrity Monitoring"
         
| sort by TimeGenerated

防火墙事件


TrendMicroDeepSecurity

         
| where DeepSecurityModuleName == "Firewall Events"
         
| sort by TimeGenerated

日志检查事件


TrendMicroDeepSecurity

         
| where DeepSecurityModuleName == "Log Inspection"
         
| sort by TimeGenerated

反恶意软件事件


TrendMicroDeepSecurity

         
| where DeepSecurityModuleName == "Anti-Malware"
         
| sort by TimeGenerated

Web 信誉事件


TrendMicroDeepSecurity

         
| where DeepSecurityModuleName == "Web Reputation"
         
| sort by TimeGenerated

供应商安装说明

  1. Linux Syslog 代理配置

安装并配置 Linux 代理,以收集通用事件格式 (CEF) Syslog 消息,并将其转发到 Microsoft Sentinel。

请注意,来自所有区域的数据将存储在所选工作区中

1.1 选择或创建 Linux 计算机

选择或创建一个 Linux 计算机,Microsoft Sentinel 将使用该计算机作为安全解决方案和 Microsoft Sentinel 之间的代理。该计算机可以位于本地环境、Azure 或其他云中。

1.2 在 Linux 计算机上安装 CEF 收集器

在 Linux 计算机上安装 Microsoft Monitoring Agent,然后将计算机配置为侦听所需的端口并将消息转发到 Microsoft Sentinel 工作区。 该 CEF 收集器在端口 514 TCP 上收集 CEF 消息。

  1. 使用以下命令确保已在计算机上安装 Python:python -version。
  1. 你必须在计算机上拥有提升的权限 (sudo)。

运行以下命令安装并应用 CEF 收集器:

sudo wget -O cef_installer.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/CEF/cef_installer.py&&sudo python cef_installer.py {0} {1}

  1. 将 Trend Micro Deep Security 日志转发到 Syslog 代理

  2. 设置安全解决方案以将 CEF 格式的 Syslog 消息发送到代理计算机。 确保将日志发送到计算机 IP 地址上的端口 514 TCP。

  3. 将 Trend Micro Deep Security 事件转发到 Syslog 代理。

  4. 通过参考此知识文章获取其他信息,定义使用 CEF 格式的新 Syslog 配置。

  5. 按照这些说明将 Deep Security Manager 配置为使用这项新配置将事件转发到 Syslog 代理。

  6. 请确保保存 TrendMicroDeepSecurity 函数,以便它正确查询 Trend Micro Deep Security 数据。

  7. 验证连接

按照说明验证连接性:

打开 Log Analytics,检查是否使用 CommonSecurityLog 架构收到了日志。

连接将数据流式传输到工作区可能大约需要 20 分钟。

如果未收到日志,请运行以下连接验证脚本:

  1. 使用以下命令确保已在计算机上安装 Python:python -version
  1. 必须在计算机上拥有提升的权限 (sudo)

运行以下命令以验证连接:

sudo wget -O cef_troubleshoot.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/CEF/cef_troubleshoot.py&&sudo python cef_troubleshoot.py {0}

  1. 保护计算机

确保根据组织的安全策略配置计算机的安全性

了解详细信息>

后续步骤

有关详细信息,请转到 Azure 市场中的相关解决方案