Соединитель Trend Micro Deep Security для Microsoft Sentinel
Соединитель Trend Micro Deep Security позволяет легко подключать журналы глубокой безопасности к Microsoft Sentinel, просматривать панели мониторинга, создавать пользовательские оповещения и улучшать исследование. Это дает вам больше сведений о сетях и системах вашей организации и улучшает возможности операций безопасности.
Это автоматически сформированное содержимое. Для изменений обратитесь к поставщику решений.
Атрибуты соединителя
Атрибут соединителя | Description |
---|---|
URL-адрес функции Kusto | https://aka.ms/TrendMicroDeepSecurityFunction |
Таблицы Log Analytics | CommonSecurityLog (TrendMicroDeepSecurity) |
Поддержка правил сбора данных | Преобразование DCR рабочей области |
Поддерживается | Trend Micro |
Примеры запросов
События предотвращения вторжений
TrendMicroDeepSecurity
| where DeepSecurityModuleName == "Intrusion Prevention"
| sort by TimeGenerated
События мониторинга целостности
TrendMicroDeepSecurity
| where DeepSecurityModuleName == "Integrity Monitoring"
| sort by TimeGenerated
События брандмауэра
TrendMicroDeepSecurity
| where DeepSecurityModuleName == "Firewall Events"
| sort by TimeGenerated
События проверки журналов
TrendMicroDeepSecurity
| where DeepSecurityModuleName == "Log Inspection"
| sort by TimeGenerated
События защиты от вредоносных программ
TrendMicroDeepSecurity
| where DeepSecurityModuleName == "Anti-Malware"
| sort by TimeGenerated
События веб-репутации
TrendMicroDeepSecurity
| where DeepSecurityModuleName == "Web Reputation"
| sort by TimeGenerated
Инструкции по установке поставщика
- Конфигурация агента Syslog Linux
Установите и настройте агент Linux, чтобы собирать сообщения системного журнала общего формата событий (CEF) и пересылать их в Microsoft Sentinel.
Обратите внимание, что в выбранной рабочей области будут храниться данные из всех регионов
1.1 Выбор или создание компьютера с Linux
Выберите или создайте компьютер Linux, который Microsoft Sentinel будет использовать в качестве прокси-сервера между решением безопасности и Microsoft Sentinel, который может находиться в локальной среде, Azure или других облаках.
1.2 Установка сборщика CEF на компьютере с Linux
Установите microsoft Monitoring Agent на компьютере Linux и настройте компьютер для прослушивания необходимого порта и пересылки сообщений в рабочую область Microsoft Sentinel. Сборщик CEF собирает сообщения CEF, передаваемые через TCP-порт 514.
- Убедитесь, что на компьютере установлен Python, выполнив следующую команду: python -version.
- Вы должны обладать повышенными правами (sudo) на компьютере.
Выполните следующую команду, чтобы установить и применить сборщик CEF:
sudo wget -O cef_installer.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/CEF/cef_installer.py&&sudo python cef_installer.py {0} {1}
Переадресация журналов Глубокой безопасности Trend Micro в агент syslog
Задайте решение для обеспечения безопасности для отправки сообщений системного журнала в формате CEF на прокси-компьютер. Убедитесь, что журналы отправляются через порт 514 TCP на IP-адрес компьютера.
Переадресация событий Trend Micro Deep Security в агент системного журнала.
Определите новую конфигурацию системного журнала, которая использует формат CEF, ссылаясь на эту статью знаний для получения дополнительных сведений.
Настройте диспетчер глубокой безопасности, чтобы использовать эту новую конфигурацию для пересылки событий агенту Системного журнала с помощью этих инструкций.
Сохраните функцию TrendMicroDeepSecurity , чтобы она правильно запрашивала данные Trend Micro Deep Security.
Проверка подключения
Следуйте инструкциям, чтобы проверить подключение:
Откройте Log Analytics, чтобы проверить, получены ли журналы с помощью схемы CommonSecurityLog.
Это может занять около 20 минут, пока данные подключения не передаются в рабочую область.
Если журналы не получены, выполните следующий сценарий проверки подключения:
- Убедитесь, что на компьютере есть Python, используя следующую команду: python -version
- На компьютере должны быть повышенные разрешения (sudo)
Выполните следующую команду, чтобы проверить подключение:
sudo wget -O cef_troubleshoot.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/CEF/cef_troubleshoot.py&&sudo python cef_troubleshoot.py {0}
- Защита компьютера
Обязательно настройте безопасность компьютера в соответствии с политикой безопасности вашей организации.
Следующие шаги
Дополнительные сведения см. в связанном решении в Azure Marketplace.