Соединитель раскрытия удостоверений для Microsoft Sentinel

  • Статья

Соединитель для проверки подлинности удостоверений позволяет использовать индикаторы воздействия, индикаторы атак и журналов отслеживания данных в Microsoft Sentinel.Различные рабочие книги и средства анализа данных позволяют более легко управлять журналами и отслеживать среду Active Directory. Шаблоны аналитики позволяют автоматизировать ответы по различным событиям, воздействиям и атакам.

Это автоматически сформированное содержимое. Для изменений обратитесь к поставщику решений.

Атрибуты соединителя

Атрибут соединителя Description
Псевдоним функции Kusto afad_parser
Таблицы Log Analytics Tenable_IE_CL
Поддержка правил сбора данных В настоящий момент не поддерживается
Поддерживается Tenable

Примеры запросов

Получение количества оповещений, активированных каждым IoE

afad_parser

| where MessageType == 0

| summarize AlertCount = count() by Codename

Получение всех оповещений IoE с уровнем серьезности выше порогового значения

let threshold = 2;
let SeverityTable=datatable(Severity:string,Level:int) [
"low", 1,
"medium", 2,
"high", 3,
"critical", 4
];
afad_parser

| where MessageType == 0

| lookup kind=leftouter SeverityTable on Severity

| where Level >= ['threshold']

Получение всех оповещений IoE за последние 24 часа

afad_parser 
| where MessageType == 0 and TimeGenerated > ago(1d)

Получение всех оповещений IoE за последние 7 дней

afad_parser 
| where MessageType == 0 and TimeGenerated > ago(7d)

Получение всех оповещений IoE за последние 30 дней

afad_parser 
| where MessageType == 0 and TimeGenerated > ago(30d)

Получение всех изменений потока следов за последние 24 часа

afad_parser 
| where MessageType == 1 and TimeGenerated > ago(1d)

Получение всех изменений потока следа за последние 7 дней

afad_parser 
| where MessageType == 1 and TimeGenerated > ago(7d)

Получение количества оповещений, активированных каждым IoA

afad_parser

| where MessageType == 2

| summarize AlertCount = count() by Codename

Получение всех оповещений IoA за последние 30 дней

afad_parser 
| where MessageType == 2 and TimeGenerated > ago(30d)

Необходимые компоненты

Чтобы интегрировать с Tenable Identity Exposure, убедитесь, что у вас есть:

  • Доступ к конфигурации TenableIE: разрешения на настройку подсистемы оповещений системного журнала

Инструкции по установке поставщика

Этот соединитель данных зависит от afad_parser на основе функции Kusto, которая должна работать должным образом, которая развернута с помощью решения Microsoft Sentinel.

  1. Настройка сервера Syslog

    Сначала вам потребуется сервер системного журнала Linux, в который TenableIE будут отправляться журналы. Обычно используется rsyslog под управлением Ubuntu. Затем этот сервер можно настроить как нужно, но рекомендуется выводить журналы TenableIE в отдельном файле.

    Настройте rsyslog для приема журналов с IP-адреса TenableIE.:

    sudo -i

# Set TenableIE source IP address
export TENABLE_IE_IP={Enter your IP address}

# Create rsyslog configuration file
cat > /etc/rsyslog.d/80-tenable.conf << EOF
\$ModLoad imudp
\$UDPServerRun 514
\$ModLoad imtcp
\$InputTCPServerRun 514
\$AllowedSender TCP, 127.0.0.1, $TENABLE_IE_IP
\$AllowedSender UDP, 127.0.0.1, $TENABLE_IE_IP
\$template MsgTemplate,"%TIMESTAMP:::date-rfc3339% %HOSTNAME% %programname%[%procid%]:%msg%\n"
\$template remote-incoming-logs, "/var/log/%PROGRAMNAME%.log"
*.* ?remote-incoming-logs;MsgTemplate
EOF

# Restart rsyslog
systemctl restart rsyslog

  2. Установка и подключение агента Microsoft для Linux

    Агент OMS получит события системного журнала TenableIE и опубликует его в Microsoft Sentinel.

  3. Проверка журналов агента на сервере Системного журнала

    tail -f /var/opt/microsoft/omsagent/log/omsagent.log

  4. Настройка TenableIE для отправки журналов на сервер Syslog

    На портале TenableIE перейдите в систему, конфигурацию и системный журнал. Здесь можно создать новое оповещение системного журнала для сервера системного журнала.

    После этого убедитесь, что журналы правильно собираются на сервере в отдельном файле (для этого можно использовать кнопку "Проверить конфигурацию " в конфигурации оповещения системного журнала в TenableIE). Если вы использовали шаблон быстрого запуска, сервер Syslog по умолчанию будет ожидать передачи данных на порту 514 при использовании UDP и на порту 1514 при использовании TCP без TLS.

  5. Настройка пользовательских журналов

Настройте агент для сбора журналов.

  1. В Microsoft Sentinel перейдите к разделу Configuration ->Settings ->Workspace settings ->Custom logs.

  2. Нажмите кнопку "Добавить пользовательский журнал".

  3. Отправка примера TenableIE.log файла системного журнала с компьютера Linux с сервера Системного журнала и нажмите кнопку "Далее"

  4. Задайте для разделителя записей значение New Line , если дело еще не задано, и нажмите кнопку "Далее".

  5. Выберите Linux и введите путь к файлу системного журнала, нажмите кнопку + "Далее". Расположение файла по умолчанию — /var/log/TenableIE.log если у вас есть tenable версия <3.1.0, необходимо также добавить это расположение /var/log/AlsidForAD.logфайла Linux.

  6. Задайте для имени значение Tenable_IE_CL (Azure автоматически добавляет _CL в конце имени, должно быть только одно, убедитесь, что имя не Tenable_IE_CL_CL).

  7. Нажмите кнопку "Далее", вы увидите резюме, а затем нажмите кнопку "Создать".

  8. Вот и все!

Теперь вы сможете получать журналы в таблице Tenable_IE_CL, данные журналов можно анализировать с помощью функции afad_parser(), используемой всеми примерами запросов, книгами и шаблонами аналитики.

Следующие шаги

Дополнительные сведения см. в связанном решении в Azure Marketplace.