[Не рекомендуется] WithSecure Elements через соединитель для Microsoft Sentinel
Внимание
Сбор журналов из многих устройств и устройств теперь поддерживается общим форматом событий (CEF) через AMA, Syslog через AMA или пользовательские журналы через соединитель данных AMA в Microsoft Sentinel. Дополнительные сведения см. в статье Поиск нужных соединителей данных Microsoft Sentinel.
WithSecure Elements — это единая облачная платформа кибербезопасности. Подключив WithSecure Elements через соединитель к Microsoft Sentinel, события безопасности можно получить в формате common Event Format (CEF) через системный журнал. Для этого требуется развертывание "Соединитель элементов" в локальной среде или в облаке. Общий формат событий (CEF) обеспечивает собственный поиск и корреляцию, оповещение и обогащение аналитики угроз для каждого журнала данных.
Это автоматически сформированное содержимое. Для изменений обратитесь к поставщику решений.
Атрибуты соединителя
| Атрибут соединителя | Description |
|---|---|
| Таблицы Log Analytics | CommonSecurityLog (WithSecure Events) |
| Поддержка правил сбора данных | Преобразование DCR рабочей области |
| Поддерживается | WithSecure |
Примеры запросов
Все журналы
CommonSecurityLog
| where DeviceVendor == "WithSecure™"
| sort by TimeGenerated
Инструкции по установке поставщика
- Конфигурация агента Syslog Linux
Установите и настройте агент Linux, чтобы собирать сообщения системного журнала общего формата событий (CEF) и пересылать их в Microsoft Sentinel.
Обратите внимание, что в выбранной рабочей области будут храниться данные из всех регионов
1.1 Выбор или создание компьютера с Linux
Выберите или создайте компьютер Linux, который Microsoft Sentinel будет использовать в качестве прокси-сервера между решением WithSecurity и Sentinel. Компьютер может быть локальной средой, Microsoft Azure или другим облаком.
Linux необходимо установить
syslog-ngиpython/python3установить.
1.2 Установка сборщика CEF на компьютере с Linux
Установите microsoft Monitoring Agent на компьютере Linux и настройте компьютер для прослушивания необходимого порта и пересылки сообщений в рабочую область Microsoft Sentinel. Сборщик CEF собирает сообщения CEF, передаваемые через TCP-порт 514.
- Убедитесь, что на компьютере установлен Python, выполнив следующую команду: python -version.
- Вы должны обладать повышенными правами (sudo) на компьютере.
Выполните следующую команду, чтобы установить и применить сборщик CEF:
sudo wget -O cef_installer.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/CEF/cef_installer.py&&sudo python cef_installer.py {0} {1}
Для python3 используйте следующую команду:
sudo wget -O cef_installer.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/CEF/cef_installer.py&&sudo python3 cef_installer.py {0} {1}
- Переадресация данных из соединителя WithSecure Elements в агент системного журнала
В этом разделе описывается, как установить и настроить соединитель Элементов пошаговые инструкции.
Подписка соединителя заказов 2.1
Если подписка соединителя еще не упорядочена, перейдите к EPP на портале элементов. Затем перейдите к разделу "Скачивание" и в разделе "Соединитель элементов" нажмите кнопку "Создать ключ подписки". Вы можете проверить ключ подписки в подписках.
2.2 Скачать соединитель
Перейдите в раздел "Загрузки" и в разделе "Соединитель элементов WithSecure" выберите правильный установщик.
2.3. Создание ключа API управления
При открытии параметров учетной записи EPP в правом верхнем углу. Затем выберите "Получить ключ API управления". Если ключ был создан ранее, его также можно прочитать.
2.4 Установка соединителя
Чтобы установить соединитель Элементов, выполните действия, описанные в документации по соединителю Элементов.
2.5 Настройка пересылки событий
Если доступ к API не настроен во время установки, выполните настройку доступа API для соединителя Элементов. Затем перейдите к EPP, а затем профили, а затем используйте Для соединителя, где можно просмотреть профили соединителя. Создайте новый профиль (или измените существующий не доступный только для чтения профиль). В режиме пересылки событий включите его. Системный адрес SIEM: 127.0.0.1:514. Задайте формат общего формата событий. Выберите протокол TCP. Сохраните профиль и назначьте его соединителю Элементов на вкладке "Устройства".
- Проверка подключения
Следуйте инструкциям, чтобы проверить подключение:
Откройте Log Analytics, чтобы проверить, получены ли журналы с помощью схемы CommonSecurityLog.
Это может занять около 20 минут, пока данные подключения не передаются в рабочую область.
Если журналы не получены, выполните следующий сценарий проверки подключения:
- Убедитесь, что на компьютере есть Python, используя следующую команду: python -version
- На компьютере должны быть повышенные разрешения (sudo)
Выполните следующую команду, чтобы проверить подключение:
sudo wget -O cef_troubleshoot.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/CEF/cef_troubleshoot.py&&sudo python cef_troubleshoot.py {0}
Для python3 используйте следующую команду:
sudo wget -O cef_troubleshoot.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/CEF/cef_troubleshoot.py&&sudo python3 cef_troubleshoot.py {0}
- Защита компьютера
Обязательно настройте безопасность компьютера в соответствии с политикой безопасности вашей организации.
Следующие шаги
Дополнительные сведения см. в связанном решении в Azure Marketplace.