[En desuso] FireEye Network Security (NX) a través del conector del agente antiguo para Microsoft Sentinel
Importante
La recopilación de registros de muchos dispositivos y dispositivos ahora es compatible con el formato de evento común (CEF) a través de AMA, Syslog a través de AMA o registros personalizados a través del conector de datos AMA en Microsoft Sentinel. Para más información, consulte Búsqueda del conector de datos de Microsoft Sentinel.
El conector de datos FireEye Network Security (NX) proporciona la capacidad de ingerir registros de FireEye Network Security en Microsoft Sentinel.
Atributos del conector
Atributo del conector | Descripción |
---|---|
Tabla de Log Analytics | CommonSecurityLog (FireEyeNX) |
Compatibilidad con reglas de recopilación de datos | DCR de transformación del área de trabajo |
Compatible con | Microsoft Corporation |
Ejemplos de consultas
Principales 10 orígenes
FireEyeNXEvent
| where isnotempty(SrcIpAddr)
| summarize count() by SrcIpAddr
| top 10 by count_
Instrucciones de instalación del proveedor
Nota
Este conector de datos depende de un analizador basado en una función de Kusto para que funcione según lo previsto en FireEyeNXEvent, que se implementa con la solución Microsoft Sentinel.
Nota
Este conector de datos se ha desarrollado mediante la versión v9.0 de FEOS
- Configuración del agente de Syslog para Linux
Instale y configure el agente de Linux para recopilar los mensajes de Syslog del formato de evento común (CEF) y reenviarlos a Microsoft Sentinel.
Tenga en cuenta que los datos de todas las regiones se almacenarán en el área de trabajo seleccionada.
1.1. Selección o creación de una máquina Linux
Seleccione o cree una máquina Linux que Microsoft Sentinel usará como proxy entre la solución de seguridad y Microsoft Sentinel. Dicha máquina puede encontrarse en su entorno local, en Azure o en otras nubes.
1.2. Instalación del recopilador de CEF en la máquina Linux
Instale Microsoft Monitoring Agent en la máquina Linux y configure la máquina para que escuche en el puerto necesario y reenvíe los mensajes al área de trabajo de Microsoft Sentinel. El recopilador CEF recopila mensajes CEF en el puerto TCP 514.
- Asegúrese de tener Python en la máquina con el siguiente comando: python -version.
- Debe tener permisos elevados (sudo) en la máquina.
Ejecute el comando siguiente para instalar y aplicar el recopilador de CEF:
sudo wget -O cef_installer.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/CEF/cef_installer.py&&sudo python cef_installer.py {0} {1}
- Configure FireEye NX para enviar registros mediante CEF
Complete los estos pasos para enviar datos mediante CEF:
2.1. Inicie sesión en el dispositivo FireEye con una cuenta de administrador
2.2. Haga clic en Configuración.
2.3. Haga clic en Notificaciones
Haga clic en rsyslog
2.4. Active la casilla Tipo de evento
2.5. Asegúrese de que la configuración de Rsyslog sea la siguiente:
Formato predeterminado: CEF
Entrega predeterminada: Por evento
Envío predeterminado como: Alerta
- Validación de la conexión
Siga las instrucciones para validar la conectividad:
Abra Log Analytics para comprobar si los registros se reciben con el esquema CommonSecurityLog.
La conexión tarda unos 20 minutos en empezar a transmitir datos al área de trabajo.
Si no se reciben los registros, ejecute el siguiente script de validación de conectividad:
- Asegúrese de tener Python en la máquina con el siguiente comando: python -version
- Debe tener permisos elevados (sudo) en la máquina.
Ejecute el comando siguiente para validar la conectividad:
sudo wget -O cef_troubleshoot.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/CEF/cef_troubleshoot.py&&sudo python cef_troubleshoot.py {0}
- Proteja la máquina
Asegúrese de configurar la seguridad de la máquina de acuerdo con la directiva de seguridad de su organización.
Pasos siguientes
Para obtener más información, vaya a la solución relacionada en Azure Marketplace.