[Deprecato] Kaspersky Security Center tramite il connettore Legacy Agent per Microsoft Sentinel
Importante
La raccolta di log da molti dispositivi e appliance è ora supportata da Common Event Format (CEF) tramite AMA, syslog tramite AMA o log personalizzati tramite il connettore dati AMA in Microsoft Sentinel. Per altre informazioni, vedere Trovare il connettore dati di Microsoft Sentinel.
Il connettore dati di Kaspersky Security Center offre la possibilità di inserire i log del Centro sicurezza Kaspersky in Microsoft Sentinel.
Attributi connettore
| Attributo connettore | Descrizione |
|---|---|
| Tabelle Log Analytics | CommonSecurityLog (KasperskySC) |
| Supporto regole di raccolta dati | Trasformazione area di lavoro DCR |
| Supportata da: | Microsoft Corporation |
Esempi di query
Prime 10 destinazioni
KasperskySCEvent
| where isnotempty(DstIpAddr)
| summarize count() by DstIpAddr
| top 10 by count_
Istruzioni per l’installazione di Vendor
Nota
Questo connettore dati dipende da un parser basato su una funzione Kusto per funzionare come previsto KasperskySCEvent distribuito con la soluzione Microsoft Sentinel.
Nota
Questo connettore dati è stato sviluppato usando Kaspersky Security Center 13.1.
- Configurazione dell'agente di Syslog per Linux
Installare e configurare l'agente Linux per raccogliere i messaggi Syslog di Common Event Format (CEF) e inoltrarli a Microsoft Sentinel.
Si noti che i dati da tutte le aree verranno archiviati nell'area di lavoro selezionata
1.1 Selezionare o creare una macchina virtuale Linux
Selezionare o creare un computer Linux che Microsoft Sentinel userà come proxy tra la soluzione di sicurezza e Microsoft Sentinel, questo computer può trovarsi nell'ambiente locale, Microsoft o altri cloud.
1.2 Installare l'agente di raccolta CEF nel computer Linux
Installare Microsoft Monitoring Agent nel computer Linux, configurare il computer per l'ascolto sulla porta necessaria e inoltrare i messaggi all'area di lavoro di Microsoft Sentinel. L'agente di raccolta CEF raccoglie messaggi CEF sulla porta 514 TCP.
- Verificare che Python sia installato nel computer usando il comando seguente: python -version.
- È necessario disporre di autorizzazioni elevate (sudo) nel computer.
Eseguire il comando seguente per installare e applicare l'agente di raccolta CEF:
sudo wget -O cef_installer.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/CEF/cef_installer.py&&sudo python cef_installer.py {0} {1}
- Configurare Kaspersky Security Center per l'invio di log tramite CEF
Seguire le istruzioni per configurare l'esportazione di eventi da Kaspersky Security Center.
- Convalida connessione
Seguire le istruzioni per convalidare la connettività:
Aprire Log Analytics per verificare se i log vengono ricevuti usando lo schema CommonSecurityLog.
Lo streaming dei dati nell'area di lavoro da parte della connessione potrebbe richiedere circa 20 minuti.
Se i log non vengono ricevuti, eseguire lo script di convalida della connettività seguente:
- Verificare che Python sia installato nel computer usando il comando seguente: python -version
- È necessario disporre di autorizzazioni elevate (sudo) nel computer
Eseguire il comando seguente per convalidare la connettività:
sudo wget -O cef_troubleshoot.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/CEF/cef_troubleshoot.py&&sudo python cef_troubleshoot.py {0}
- Proteggere il computer
Assicurarsi di configurare la sicurezza del computer in base ai criteri di sicurezza dell'organizzazione