Konektor pro vystavení tenanta identity pro Microsoft Sentinel

  • Článek

Konektor pro vystavení tenanta identity umožňuje inestovat do Microsoft Sentinelu indikátory expozice, indikátory útoků a protokolů koncového toku. Různé pracovní knihy a analyzátory dat umožňují snadněji manipulovat s protokoly a monitorovat prostředí služby Active Directory. Analytické šablony umožňují automatizovat odpovědi týkající se různých událostí, expozic a útoků.

Jedná se o automaticky vygenerovaný obsah. Pokud potřebujete změny, obraťte se na poskytovatele řešení.

Atributy konektoru

Atribut konektoru Popis
Alias funkce Kusto afad_parser
Tabulky Log Analytics Tenable_IE_CL
Podpora pravidel shromažďování dat V současnosti není podporováno
Podporováno Udržitelný

Ukázky dotazů

Získání počtu upozornění aktivovaných jednotlivými IoE

afad_parser

| where MessageType == 0

| summarize AlertCount = count() by Codename

Získání všech upozornění IoE s vyšší závažností na prahovou hodnotu

let threshold = 2;
let SeverityTable=datatable(Severity:string,Level:int) [
"low", 1,
"medium", 2,
"high", 3,
"critical", 4
];
afad_parser

| where MessageType == 0

| lookup kind=leftouter SeverityTable on Severity

| where Level >= ['threshold']

Získání všech upozornění IoE za posledních 24 hodin

afad_parser 
| where MessageType == 0 and TimeGenerated > ago(1d)

Získání všech upozornění IoE za posledních 7 dnů

afad_parser 
| where MessageType == 0 and TimeGenerated > ago(7d)

Získání všech upozornění IoE za posledních 30 dnů

afad_parser 
| where MessageType == 0 and TimeGenerated > ago(30d)

Získání všech změn koncového toku za posledních 24 hodin

afad_parser 
| where MessageType == 1 and TimeGenerated > ago(1d)

Získání všech změn koncového toku za posledních 7 dnů

afad_parser 
| where MessageType == 1 and TimeGenerated > ago(7d)

Získání počtu upozornění aktivovaných jednotlivými IoA

afad_parser

| where MessageType == 2

| summarize AlertCount = count() by Codename

Získání všech upozornění IoA za posledních 30 dnů

afad_parser 
| where MessageType == 2 and TimeGenerated > ago(30d)

Požadavky

Pokud chcete integrovat s ohrožením tenanta identity, ujistěte se, že máte:

  • Přístup ke konfiguraci TenableIE: Oprávnění ke konfiguraci modulu upozornění syslogu

Pokyny k instalaci dodavatele

Tento datový konektor závisí na afad_parser na základě funkce Kusto, která funguje podle očekávání, která se nasadí s řešením Microsoft Sentinel.

  1. Konfigurace serveru Syslog

    Nejprve budete potřebovat linuxový server Syslog , do kterého tenableIE odešle protokoly. Obvykle můžete spustit rsyslog na Ubuntu. Tento server pak můžete nakonfigurovat tak, jak chcete, ale doporučujeme, abyste mohli výstupní protokoly TenableIE v samostatném souboru.

    Nakonfigurujte rsyslog tak, aby přijímal protokoly z IP adresy TenableIE.:

    sudo -i

# Set TenableIE source IP address
export TENABLE_IE_IP={Enter your IP address}

# Create rsyslog configuration file
cat > /etc/rsyslog.d/80-tenable.conf << EOF
\$ModLoad imudp
\$UDPServerRun 514
\$ModLoad imtcp
\$InputTCPServerRun 514
\$AllowedSender TCP, 127.0.0.1, $TENABLE_IE_IP
\$AllowedSender UDP, 127.0.0.1, $TENABLE_IE_IP
\$template MsgTemplate,"%TIMESTAMP:::date-rfc3339% %HOSTNAME% %programname%[%procid%]:%msg%\n"
\$template remote-incoming-logs, "/var/log/%PROGRAMNAME%.log"
*.* ?remote-incoming-logs;MsgTemplate
EOF

# Restart rsyslog
systemctl restart rsyslog

  2. Instalace a připojení agenta Microsoftu pro Linux

    Agent OMS obdrží události syslogu TenableIE a publikuje ho v Microsoft Sentinelu.

  3. Kontrola protokolů agenta na serveru Syslog

    tail -f /var/opt/microsoft/omsagent/log/omsagent.log

  4. Konfigurace tenableIE pro odesílání protokolů na server Syslog

    Na portálu TenableIE přejděte do části System, Configuration a pak Syslog. Odtud můžete vytvořit nové upozornění Syslogu na váš server Syslog.

    Po dokončení zkontrolujte, jestli se protokoly správně shromažďují na vašem serveru v samostatném souboru (k tomu můžete použít tlačítko Test konfigurace v konfiguraci upozornění Syslogu v TenableIE). Pokud jste použili šablonu Pro rychlý start, server Syslog ve výchozím nastavení naslouchá na portu 514 v UDP a 1514 v protokolu TCP bez protokolu TLS.

  5. Konfigurace vlastních protokolů

Nakonfigurujte agenta tak, aby shromažďovali protokoly.

  1. V Microsoft Sentinelu přejděte do části Konfigurace ->Settings ->Workspace settings ->Custom logs.

  2. Klikněte na Přidat vlastní protokol.

  3. Nahrání ukázkového TenableIE.log souboru Syslog z počítače s Linuxem, na kterém běží server Syslog, a klikněte na Další.

  4. Nastavte oddělovač záznamů na Nový řádek , pokud ještě není případ a klepněte na tlačítko Další.

  5. Vyberte Linux a zadejte cestu k souboru Syslog a klikněte na + Další. Výchozí umístění souboru je /var/log/TenableIE.log , pokud máte tenable verze <3.1.0, musíte také přidat toto umístění /var/log/AlsidForAD.loglinuxového souboru .

  6. Nastavte název na Tenable_IE_CL (Azure automaticky přidá _CL na konec názvu, musí existovat jenom jeden, ujistěte se, že název není Tenable_IE_CL_CL).

  7. Klikněte na Další, zobrazí se životopis a potom klikněte na Vytvořit.

  8. Užijte si to!

Teď byste měli být schopni přijímat protokoly v tabulce Tenable_IE_CL , data protokolů je možné analyzovat pomocí funkce afad_parser(), kterou používají všechny ukázky dotazů, sešity a analytické šablony.

Další kroky

Další informace najdete v souvisejícím řešení na Azure Marketplace.