Sdílet prostřednictvím


Konektor Konzoly pro správu Silverfort pro Microsoft Sentinel

Řešení konektoru Konzoly pro správu ITDR Silverfort umožňuje příjem událostí Silverfort a přihlašování k Microsoft Sentinelu. Silverfort poskytuje události založené na syslogu a protokolování pomocí formátu CEF (Common Event Format). Předáním dat CEF konzoly pro správu ITDR Silverfort do Microsoft Sentinelu můžete využít výhody vyhledávání a korelace, upozorňování a rozšiřování analýzy hrozeb v datech Silverfort. Další informace získáte v dokumentaci k silverfortu.

Jedná se o automaticky vygenerovaný obsah. Pokud potřebujete změny, obraťte se na poskytovatele řešení.

Atributy konektoru

Atribut konektoru Popis
Tabulky Log Analytics CommonSecurityLog (DATATYPE_NAME)
Podpora pravidel shromažďování dat Transformace pracovního prostoru – DCR
Podporováno Silverfort

Ukázky dotazů

Získání všech incidentů hrubou silou uživatele

CommonSecurityLog 

| where DeviceVendor has 'Silverfort'

| where DeviceProduct has 'Admin Console'

| where DeviceEventClassID == "NewIncident"

| where Message has "UserBruteForce"

Pokyny k instalaci dodavatele

  1. Konfigurace agenta Syslog pro Linux

Nainstalujte a nakonfigurujte agenta Linuxu tak, aby shromažďoval zprávy Syslogu ve formátu CEF (Common Event Format) a předával je do Služby Microsoft Sentinel.

Všimněte si, že data ze všech oblastí budou uložena ve vybraném pracovním prostoru.

1.1 Výběr nebo vytvoření počítače s Linuxem

Vyberte nebo vytvořte počítač s Linuxem, který Bude Microsoft Sentinel používat jako proxy server mezi vaším řešením zabezpečení a Microsoft Sentinelem, může být váš místní prostředí, Azure nebo jiné cloudy.

1.2 Instalace kolektoru CEF na počítači s Linuxem

Nainstalujte agenta Microsoft Monitoring Agent na počítač s Linuxem a nakonfigurujte počítač tak, aby naslouchal potřebným portům a přeposílal zprávy do pracovního prostoru Služby Microsoft Sentinel. Kolektor CEF shromažďuje zprávy CEF na portu 514 TCP.

  1. Pomocí následujícího příkazu se ujistěte, že máte na svém počítači Python: python -version.
  1. Na počítači musíte mít zvýšená oprávnění (sudo).

Spuštěním následujícího příkazu nainstalujte a použijte kolektor CEF:

sudo wget -O cef_installer.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/CEF/cef_installer.py&&sudo python cef_installer.py {0} {1}

  1. Předávání protokolů CEF (Common Event Format) do agenta Syslogu

Nastavte řešení zabezpečení tak, aby do proxy počítače odesílaly zprávy Syslog ve formátu CEF. Nezapomeňte protokoly odeslat na port 514 TCP na IP adrese počítače.

  1. Ověření připojení

Podle pokynů ověřte připojení:

Otevřete Log Analytics a zkontrolujte, jestli se protokoly přijímají pomocí schématu CommonSecurityLog.

Může to trvat přibližně 20 minut, než připojení streamuje data do vašeho pracovního prostoru.

Pokud protokoly nejsou přijaty, spusťte následující ověřovací skript připojení:

  1. Pomocí následujícího příkazu se ujistěte, že máte na počítači Python: python -version.
  1. Na počítači musíte mít zvýšená oprávnění (sudo).

Spuštěním následujícího příkazu ověřte připojení:

sudo wget -O cef_troubleshoot.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/CEF/cef_troubleshoot.py&&sudo python cef_troubleshoot.py {0}

  1. Zabezpečení počítače

Nezapomeňte nakonfigurovat zabezpečení počítače podle zásad zabezpečení vaší organizace.

Další informace >

Další kroky

Další informace najdete v souvisejícím řešení na Azure Marketplace.