Konektor Claroty xDome pro Microsoft Sentinel
Claroty xDome poskytuje komplexní možnosti zabezpečení a správy výstrah pro zdravotnická a průmyslová síťová prostředí. Je navržená k mapování více typů zdrojů, identifikaci shromážděných dat a jejich integraci do datových modelů Microsoft Sentinelu. Výsledkem je možnost monitorovat všechny potenciální hrozby ve vašem zdravotnickém a průmyslovém prostředí na jednom místě, což vede k efektivnějšímu monitorování zabezpečení a silnějšímu stavu zabezpečení.
Jedná se o automaticky vygenerovaný obsah. Pokud potřebujete změny, obraťte se na poskytovatele řešení.
Atributy konektoru
| Atribut konektoru | Popis |
|---|---|
| Tabulky Log Analytics | CommonSecurityLog (ClarotyxDome) |
| Podpora pravidel shromažďování dat | Transformace pracovního prostoru – DCR |
| Podporováno | Zákaznická podpora pro xDome |
Ukázky dotazů
Načtení protokolů z Claroty xDome
CommonSecurityLog
| where DeviceVendor in ("Medigate", "Claroty")
| sort by TimeGenerated
Pokyny k instalaci dodavatele
Konfigurace agenta Syslog pro Linux 1.0
Nainstalujte a nakonfigurujte agenta Linuxu tak, aby shromažďoval zprávy Syslogu ve formátu CEF (Common Event Format) a předával je do Služby Microsoft Sentinel.
Všimněte si, že data ze všech oblastí budou uložena ve vybraném pracovním prostoru.
1.1 Výběr nebo vytvoření počítače s Linuxem
Vyberte nebo vytvořte počítač s Linuxem, který Bude Microsoft Sentinel používat jako proxy server mezi vaším řešením zabezpečení a Microsoft Sentinelem, může být váš místní prostředí, Azure nebo jiné cloudy.
1.2 Instalace kolektoru CEF na počítači s Linuxem
Nainstalujte agenta Microsoft Monitoring Agent na počítač s Linuxem a nakonfigurujte počítač tak, aby naslouchal potřebným portům a přeposílal zprávy do pracovního prostoru Služby Microsoft Sentinel. Kolektor CEF shromažďuje zprávy CEF na portu 514 TCP.
Pomocí následujícího příkazu se ujistěte, že máte na počítači Python: python --version.
Na počítači musíte mít zvýšená oprávnění (sudo).
Spuštěním následujícího příkazu nainstalujte a použijte kolektor CEF:
sudo wget -O cef_installer.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/CEF/cef_installer.py&&sudo python cef_installer.py {0} {1}Předávání protokolů CEF (Common Event Format) do agenta Syslogu
Nakonfigurujte integraci Claroty xDome – Microsoft Sentinel ke shromažďování zpráv Syslogu ve formátu CEF (Common Event Format) a jejich přeposílání do Microsoft Sentinelu.
Ověření připojení
Podle pokynů ověřte připojení:
Otevřete Log Analytics a zkontrolujte, jestli se protokoly přijímají pomocí schématu CommonSecurityLog.
Může to trvat přibližně 20 minut, než připojení streamuje data do vašeho pracovního prostoru.
Pokud protokoly nejsou přijaty, spusťte následující ověřovací skript připojení:
Pomocí následujícího příkazu se ujistěte, že máte na počítači Python: python --version.
Na počítači musíte mít zvýšená oprávnění (sudo).
Spuštěním následujícího příkazu ověřte připojení:
sudo wget -O cef_troubleshoot.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/CEF/cef_troubleshoot.py&&sudo python cef_troubleshoot.py {0}Zabezpečení počítače
Nezapomeňte nakonfigurovat zabezpečení počítače podle zásad zabezpečení vaší organizace.
Další kroky
Další informace najdete v souvisejícím řešení na Azure Marketplace.