你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

适用于 Microsoft Sentinel 的 Trend Micro TippingPoint 连接器

  • 项目

通过 Trend Micro TippingPoint 连接器,可以轻松地将 TippingPoint SMS IPS 事件与 Microsoft Sentinel 连接,以查看仪表板、创建自定义警报和改进调查。 这样,用户就可以更深入地了解组织的网络/系统并改进安全操作功能。

这是自动生成的内容。 有关更改,请联系解决方案提供商。

连接器属性

连接器属性 说明
Log Analytics 表 CommonSecurityLog (TrendMicroTippingPoint)
数据收集规则支持 工作区转换 DCR
支持的服务 Trend Micro

查询示例

TippingPoint IPS 事件


TrendMicroTippingPoint

         
| sort by TimeGenerated

顶级 IPS 事件


TrendMicroTippingPoint

         
| summarize EventCountTotal = sum(EventCount) by DeviceEventClassID, Activity, SimplifiedDeviceAction
         
| sort by EventCountTotal desc

IPS 事件的顶级源 IP


TrendMicroTippingPoint

         
| summarize EventCountTotal = sum(EventCount) by SourceIP
         
| sort by EventCountTotal desc

IPS 事件的顶级目标 IP


TrendMicroTippingPoint

         
| summarize EventCountTotal = sum(EventCount) by DestinationIP
         
| sort by EventCountTotal desc

供应商安装说明

注意:此数据连接器依赖于基于 Kusto 函数的分析程序才能按预期工作,该函数已部署为解决方案的一部分。 要查看 Log Analytics 中的函数代码,请打开 Log Analytics/Microsoft Sentinel“日志”边栏选项卡,单击“函数”,搜索别名 TrendMicroTippingPoint 并加载函数代码,或单击此处。安装/更新解决方案后,函数通常需要 10-15 分钟才能激活。

  1. Linux Syslog 代理配置

安装并配置 Linux 代理,以收集通用事件格式 (CEF) Syslog 消息,并将其转发到 Microsoft Sentinel。

请注意,来自所有区域的数据将存储在所选工作区中

1.1 选择或创建 Linux 计算机

选择或创建一个 Linux 计算机,Microsoft Sentinel 将使用该计算机作为安全解决方案和 Microsoft Sentinel 之间的代理。该计算机可以位于本地环境、Azure 或其他云中。

1.2 在 Linux 计算机上安装 CEF 收集器

在 Linux 计算机上安装 Microsoft Monitoring Agent,然后将计算机配置为侦听所需的端口并将消息转发到 Microsoft Sentinel 工作区。 该 CEF 收集器在端口 514 TCP 上收集 CEF 消息。

  1. 使用以下命令确保已在计算机上安装 Python:python -version。
  1. 你必须在计算机上拥有提升的权限 (sudo)。

运行以下命令安装并应用 CEF 收集器:

sudo wget -O cef_installer.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/CEF/cef_installer.py&&sudo python cef_installer.py {0} {1}

  1. 将 Trend Micro TippingPoint SMS 日志转发到 Syslog 代理

设置 TippingPoint SMS 以将 ArcSight CEF 格式 v4.2 格式的 Syslog 消息发送到代理计算机。 请确保将日志发送到计算机 IP 地址上的端口 514 TCP。

  1. 验证连接

按照说明验证连接性:

打开 Log Analytics,检查是否使用 CommonSecurityLog 架构收到了日志。

连接将数据流式传输到工作区可能大约需要 20 分钟。

如果未收到日志,请运行以下连接验证脚本:

  1. 使用以下命令确保已在计算机上安装 Python:python -version
  1. 必须在计算机上拥有提升的权限 (sudo)

运行以下命令以验证连接:

sudo wget -O cef_troubleshoot.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/CEF/cef_troubleshoot.py&&sudo python cef_troubleshoot.py {0}

  1. 保护计算机

确保根据组织的安全策略配置计算机的安全性

了解详细信息>

后续步骤

有关详细信息,请转到 Azure 市场中的相关解决方案