Microsoft Sentinel için Tenable Identity Exposure bağlayıcısı

  • Makale

Tenable Identity Exposure bağlayıcısı, Pozlama Göstergeleri, Saldırı Göstergeleri ve izleme akışı günlüklerinin Microsoft Sentinel'e alınmasına olanak tanır.Farklı çalışma kitapları ve veri ayrıştırıcıları günlükleri daha kolay işlemenize ve Active Directory ortamınızı izlemenize olanak tanır. Analiz şablonları farklı olaylar, maruz kalmalar ve saldırılarla ilgili yanıtları otomatikleştirmenize olanak sağlar.

Bu, otomatik olarak oluşturulan içeriktir. Değişiklikler için çözüm sağlayıcısına başvurun.

Bağlayıcı öznitelikleri

Bağlayıcı özniteliği Açıklama
Kusto işlev diğer adı afad_parser
Log Analytics tabloları Tenable_IE_CL
Veri toplama kuralları desteği Şu anda desteklenmiyor
Destekleyen: Tenable

Sorgu örnekleri

Her IoE tarafından tetiklenen uyarı sayısını alma

afad_parser

| where MessageType == 0

| summarize AlertCount = count() by Codename

Eşikten daha yüksek önem derecesine sahip tüm IoE uyarılarını alma

let threshold = 2;
let SeverityTable=datatable(Severity:string,Level:int) [
"low", 1,
"medium", 2,
"high", 3,
"critical", 4
];
afad_parser

| where MessageType == 0

| lookup kind=leftouter SeverityTable on Severity

| where Level >= ['threshold']

Son 24 saat için tüm IoE uyarılarını alma

afad_parser 
| where MessageType == 0 and TimeGenerated > ago(1d)

Son 7 güne ilişkin tüm IoE uyarılarını alma

afad_parser 
| where MessageType == 0 and TimeGenerated > ago(7d)

Son 30 güne ilişkin tüm IoE uyarılarını alma

afad_parser 
| where MessageType == 0 and TimeGenerated > ago(30d)

Son 24 saat için tüm iz akışı değişikliklerini alma

afad_parser 
| where MessageType == 1 and TimeGenerated > ago(1d)

Son 7 güne ilişkin tüm iz akışı değişikliklerini alma

afad_parser 
| where MessageType == 1 and TimeGenerated > ago(7d)

Her IoA tarafından tetiklenen uyarı sayısını alma

afad_parser

| where MessageType == 2

| summarize AlertCount = count() by Codename

Son 30 güne ilişkin tüm IoA uyarılarını alma

afad_parser 
| where MessageType == 2 and TimeGenerated > ago(30d)

Önkoşullar

Tenable Identity Exposure ile tümleştirmek için aşağıdakilere sahip olduğunuzdan emin olun:

  • TenableIE Yapılandırmasına Erişim: Syslog uyarı altyapısını yapılandırma izinleri

Satıcı yükleme yönergeleri

Bu veri bağlayıcısı, Microsoft Sentinel Çözümü ile dağıtılan kusto işlevinin beklendiği gibi çalışması için afad_parser bağlıdır.

  1. Syslog sunucusunu yapılandırma

    Öncelikle TenableIE'nin günlükleri göndereceği bir linux Syslog sunucusuna ihtiyacınız olacaktır. Genellikle Ubuntu üzerinde rsyslog çalıştırabilirsiniz. Daha sonra bu sunucuyu istediğiniz gibi yapılandırabilirsiniz, ancak TenableIE günlüklerinin ayrı bir dosyada çıkışını alabilmeniz önerilir.

    Rsyslog'u TenableIE IP adresinizden günlükleri kabul etmek için yapılandırın.:

    sudo -i

# Set TenableIE source IP address
export TENABLE_IE_IP={Enter your IP address}

# Create rsyslog configuration file
cat > /etc/rsyslog.d/80-tenable.conf << EOF
\$ModLoad imudp
\$UDPServerRun 514
\$ModLoad imtcp
\$InputTCPServerRun 514
\$AllowedSender TCP, 127.0.0.1, $TENABLE_IE_IP
\$AllowedSender UDP, 127.0.0.1, $TENABLE_IE_IP
\$template MsgTemplate,"%TIMESTAMP:::date-rfc3339% %HOSTNAME% %programname%[%procid%]:%msg%\n"
\$template remote-incoming-logs, "/var/log/%PROGRAMNAME%.log"
*.* ?remote-incoming-logs;MsgTemplate
EOF

# Restart rsyslog
systemctl restart rsyslog

  2. Linux için Microsoft aracısını yükleme ve ekleme

    OMS aracısı TenableIE syslog olaylarını alır ve Microsoft Sentinel'de yayımlar.

  3. Syslog sunucusundaki aracı günlüklerini denetleme

    tail -f /var/opt/microsoft/omsagent/log/omsagent.log

  4. TenableIE'yi Günlükleri Syslog sunucunuza gönderecek şekilde yapılandırma

    TenableIE portalınızda Sistem, Yapılandırma ve ardından Syslog'a gidin. Buradan Syslog sunucunuza yönelik yeni bir Syslog uyarısı oluşturabilirsiniz.

    Bu işlem tamamlandıktan sonra günlüklerin sunucunuzda ayrı bir dosyada doğru şekilde toplanıp toplanmadığını denetleyin (bunu yapmak için, TenableIE'deki Syslog uyarı yapılandırmasında Yapılandırmayı test et düğmesini kullanabilirsiniz). Hızlı Başlangıç şablonunu kullandıysanız Syslog sunucusu varsayılan olarak TLS olmadan UDP'de 514 ve TCP'de 1514 numaralı bağlantı noktasını dinler.

  5. Özel günlükleri yapılandırma

Aracıyı günlükleri toplayacak şekilde yapılandırın.

  1. Microsoft Sentinel'de Yapılandırma -Ayarlar ->>Çalışma alanı ayarları -Özel günlükler'e >gidin.

  2. Özel günlük ekle'ye tıklayın.

  3. Syslog sunucusunu çalıştıran Linux makinesinden örnek bir TenableIE.log Syslog dosyası yükleyin ve İleri'ye tıklayın

  4. Henüz büyük/küçük harf değilse kayıt sınırlayıcısını Yeni Satır olarak ayarlayın ve İleri'ye tıklayın.

  5. Linux'ı seçin ve Syslog dosyasının dosya yolunu girin, ardından İleri'ye tıklayın+. Dosyanın /var/log/TenableIE.log varsayılan konumu, Tenable sürüm <3.1.0'a sahipseniz, bu Linux dosya konumunu /var/log/AlsidForAD.logda eklemeniz gerekir.

  6. Ad'ı Tenable_IE_CL olarak ayarlayın (Azure adın sonuna otomatik olarak _CL ekler, yalnızca bir tane olmalıdır, adın Tenable_IE_CL_CL olmadığından emin olun).

  7. İleri'ye tıklayın, bir özgeçmiş görürsünüz ve ardından Oluştur'a tıklayın.

  8. Keyfini çıkarın!

Artık Tenable_IE_CL tablosunda günlükleri alabilmeniz gerekir; günlük verileri tüm sorgu örnekleri, çalışma kitapları ve analiz şablonları tarafından kullanılan afad_parser() işlevi kullanılarak ayrıştırılabilir.

Sonraki adımlar

Daha fazla bilgi için Azure Market ilgili çözüme gidin.