你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

适用于 Microsoft Sentinel 的 Tenable Identity Exposure 连接器

  • 项目

Tenable Identity Exposure 连接器允许将暴露指标、攻击指标和 trailflow 日志引入 Microsoft Sentinel。不同的工作簿和数据解析器使你能够更轻松地操作日志和监视 Active Directory 环境。 通过分析模板,可以针对不同事件、暴露和攻击做出自动响应。

这是自动生成的内容。 有关更改,请联系解决方案提供商。

连接器属性

连接器属性 说明
Kusto 函数别名 afad_parser
Log Analytics 表 Tenable_IE_CL
数据收集规则支持 目前不支持
支持的服务 Tenable

查询示例

获取每个 IoE 触发的警报数

afad_parser

| where MessageType == 0

| summarize AlertCount = count() by Codename

获取严重性级别高于阈值的所有 IoE 警报

let threshold = 2;
let SeverityTable=datatable(Severity:string,Level:int) [
"low", 1,
"medium", 2,
"high", 3,
"critical", 4
];
afad_parser

| where MessageType == 0

| lookup kind=leftouter SeverityTable on Severity

| where Level >= ['threshold']

获取过去 24 小时内的所有 IoE 警报

afad_parser 
| where MessageType == 0 and TimeGenerated > ago(1d)

获取过去 7 天内的所有 IoE 警报

afad_parser 
| where MessageType == 0 and TimeGenerated > ago(7d)

获取过去 30 天内的所有 IoE 警报

afad_parser 
| where MessageType == 0 and TimeGenerated > ago(30d)

获取过去 24 小时内的所有痕迹流更改

afad_parser 
| where MessageType == 1 and TimeGenerated > ago(1d)

获取过去 7 天内的所有痕迹流更改

afad_parser 
| where MessageType == 1 and TimeGenerated > ago(7d)

获取每个 IoA 触发的警报数

afad_parser

| where MessageType == 2

| summarize AlertCount = count() by Codename

获取过去 30 天内的所有 IoA 警报

afad_parser 
| where MessageType == 2 and TimeGenerated > ago(30d)

先决条件

若要与 Tenable Identity Exposure 集成,请确保你拥有:

  • TenableIE 配置的访问权限:配置 syslog 警报引擎的权限

供应商安装说明

此数据连接器依赖于基于 Kusto 函数的 afad_parser,以按预期使用,与 Microsoft Sentinel 解决方案一起部署。

  1. 配置 Syslog 服务器

    首先需要一个 Linux Syslog 服务器,TenableIE 会将日志发送到该服务器。 通常,可在 Ubuntu 上运行 rsyslog。 然后,可按照需要配置此服务器,但建议能够在单独的文件中输出 TenableIE 日志。

    配置 rsyslog 以接受来自 TenableIE IP 地址的日志:

    sudo -i

# Set TenableIE source IP address
export TENABLE_IE_IP={Enter your IP address}

# Create rsyslog configuration file
cat > /etc/rsyslog.d/80-tenable.conf << EOF
\$ModLoad imudp
\$UDPServerRun 514
\$ModLoad imtcp
\$InputTCPServerRun 514
\$AllowedSender TCP, 127.0.0.1, $TENABLE_IE_IP
\$AllowedSender UDP, 127.0.0.1, $TENABLE_IE_IP
\$template MsgTemplate,"%TIMESTAMP:::date-rfc3339% %HOSTNAME% %programname%[%procid%]:%msg%\n"
\$template remote-incoming-logs, "/var/log/%PROGRAMNAME%.log"
*.* ?remote-incoming-logs;MsgTemplate
EOF

# Restart rsyslog
systemctl restart rsyslog

  2. 安装并开始使用适用于 Linux 的 Microsoft 代理

    OMS 代理将收到 TenableIE syslog 事件,并将其发布到 Microsoft Sentinel 中。

  3. 检查 Syslog 服务器上的代理日志

    tail -f /var/opt/microsoft/omsagent/log/omsagent.log

  4. 将 TenableIE 配置为将日志发送到 Syslog 服务器

    在“TenableIE”门户上,转到“系统”、“配置”,然后转到“Syslog”。 从这里,可以针对 Syslog 服务器创建新的 Syslog 警报。

    完成后,检查是否在服务器上将日志正确收集在单独的文件中(为此,可使用 TenableIE 的 Syslog 警报配置中的“测试配置”按钮)。 如果使用了快速启动模板,则 Syslog 服务器将默认侦听 UDP 中的端口 514 和 TCP 中的端口 1514,而不通过 TLS。

  5. 配置自定义日志

配置代理以收集日志。

  1. 在 Microsoft Sentinel 中,转到“配置”->“设置”->“工作区设置”->“自定义日志”

  2. 单击“添加自定义日志”

  3. 从运行 Syslog 服务器的 Linux 计算机上传 TenableIE.log Syslog 文件示例,然后单击“下一步”

  4. 如果尚未设置,请将记录分隔符设置为“换行符”,然后单击“下一步”

  5. 选择“Linux”并输入 Syslog 文件的文件路径,单击 +,然后单击“下一步”。 如果具有 Tenable 版本 <3.1.0,则该文件的默认位置是 /var/log/TenableIE.log,还必须添加此 Linux 文件位置 /var/log/AlsidForAD.log

  6. 将“名称”设置为 Tenable_IE_CL(Azure 自动在名称末尾添加 _CL,必须只添加一个,确保名称不为 Tenable_IE_CL_CL)

  7. 单击“下一步”,将看到履历,然后单击“创建”

  8. 请尽情体验吧!

现在应该能够接收 Tenable_IE_CL 表中的日志,可以使用 afad_parser() 函数分析日志数据,所有查询示例、工作簿和分析模板都使用该函数

后续步骤

有关详细信息,请转到 Azure 市场中的相关解决方案