你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

适用于 Microsoft Sentinel 的 Silverfort Admin Console 连接器

使用 Silverfort ITDR Admin Console 连接器解决方案可以引入 Silverfort 事件并登录 Microsoft Sentinel。 Silverfort 使用通用事件格式 (CEF) 提供基于 syslog 的事件和日志记录。 通过将 Silverfort ITDR Admin Console CEF 数据转发到 Microsoft Sentinel 中,可以利用 Sentinels 的基于 Silverfort 数据的搜索和关联、警报和威胁智能扩充。 请联系 Silverfort 或查阅 Silverfort 文档以获取更多信息。

这是自动生成的内容。 有关更改,请联系解决方案提供商。

连接器属性

连接器属性 说明
Log Analytics 表 CommonSecurityLog (DATATYPE_NAME)
数据收集规则支持 工作区转换 DCR
支持的服务 Silverfort

查询示例

获取所有用户暴力破解事件

CommonSecurityLog 

| where DeviceVendor has 'Silverfort'

| where DeviceProduct has 'Admin Console'

| where DeviceEventClassID == "NewIncident"

| where Message has "UserBruteForce"

供应商安装说明

  1. Linux Syslog 代理配置

安装并配置 Linux 代理,以收集通用事件格式 (CEF) Syslog 消息,并将其转发到 Microsoft Sentinel。

请注意,来自所有区域的数据将存储在所选工作区中

1.1 选择或创建 Linux 计算机

选择或创建一个 Linux 计算机,Microsoft Sentinel 将使用该计算机作为安全解决方案和 Microsoft Sentinel 之间的代理。该计算机可以位于本地环境、Azure 或其他云中。

1.2 在 Linux 计算机上安装 CEF 收集器

在 Linux 计算机上安装 Microsoft Monitoring Agent,然后将计算机配置为侦听所需的端口并将消息转发到 Microsoft Sentinel 工作区。 该 CEF 收集器在端口 514 TCP 上收集 CEF 消息。

  1. 使用以下命令确保已在计算机上安装 Python:python -version。
  1. 你必须在计算机上拥有提升的权限 (sudo)。

运行以下命令安装并应用 CEF 收集器:

sudo wget -O cef_installer.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/CEF/cef_installer.py&&sudo python cef_installer.py {0} {1}

  1. 将通用事件格式 (CEF) 日志转发到 Syslog 代理

设置安全解决方案以将 CEF 格式的 Syslog 消息发送到代理计算机。 请确保将日志发送到计算机 IP 地址上的端口 514 TCP。

  1. 验证连接

按照说明验证连接性:

打开 Log Analytics,检查是否使用 CommonSecurityLog 架构收到了日志。

连接将数据流式传输到工作区可能大约需要 20 分钟。

如果未收到日志,请运行以下连接验证脚本:

  1. 使用以下命令确保已在计算机上安装 Python:python -version
  1. 必须在计算机上拥有提升的权限 (sudo)

运行以下命令以验证连接:

sudo wget -O cef_troubleshoot.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/CEF/cef_troubleshoot.py&&sudo python cef_troubleshoot.py {0}

  1. 保护计算机

确保根据组织的安全策略配置计算机的安全性

了解详细信息>

后续步骤

有关详细信息,请转到 Azure 市场中的相关解决方案