Conector de la consola de administración de Silverfort para Microsoft Sentinel
La solución del conector de consola de administración de ITDR Silverfort permite la ingesta de eventos Silverfort e inicio de sesión en Microsoft Sentinel. Silverfort proporciona eventos basados en syslog y registro mediante el formato de evento común (CEF). Al reenviar los datos CEF de la consola de administración de ITDR de Silverfort a Microsoft Sentinel, puede aprovechar las ventajas del enriquecimiento de búsqueda y correlación de Sentinels, alertas e inteligencia sobre amenazas en los datos de Silverfort. Póngase en contacto con Silverfort o consulte la documentación de Silverfort para obtener más información.
Este contenido se genera automáticamente. Para los cambios, póngase en contacto con el proveedor de soluciones.
Atributos del conector
| Atributo del conector | Descripción |
|---|---|
| Tabla de Log Analytics | CommonSecurityLog (DATATYPE_NAME) |
| Compatibilidad con reglas de recopilación de datos | DCR de transformación del área de trabajo |
| Compatible con | Silverfort |
Ejemplos de consultas
Obtener todos los incidentes de fuerza bruta de usuario
CommonSecurityLog
| where DeviceVendor has 'Silverfort'
| where DeviceProduct has 'Admin Console'
| where DeviceEventClassID == "NewIncident"
| where Message has "UserBruteForce"
Instrucciones de instalación del proveedor
- Configuración del agente de Syslog para Linux
Instale y configure el agente de Linux para recopilar los mensajes de Syslog del formato de evento común (CEF) y reenviarlos a Microsoft Sentinel.
Tenga en cuenta que los datos de todas las regiones se almacenarán en el área de trabajo seleccionada.
1.1. Selección o creación de una máquina Linux
Seleccione o cree una máquina Linux que Microsoft Sentinel usará como proxy entre la solución de seguridad y Microsoft Sentinel. Dicha máquina puede encontrarse en su entorno local, en Azure o en otras nubes.
1.2. Instalación del recopilador de CEF en la máquina Linux
Instale Microsoft Monitoring Agent en la máquina Linux y configure la máquina para que escuche en el puerto necesario y reenvíe los mensajes al área de trabajo de Microsoft Sentinel. El recopilador CEF recopila mensajes CEF en el puerto TCP 514.
- Asegúrese de tener Python en la máquina con el siguiente comando: python -version.
- Debe tener permisos elevados (sudo) en la máquina.
Ejecute el comando siguiente para instalar y aplicar el recopilador de CEF:
sudo wget -O cef_installer.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/CEF/cef_installer.py&&sudo python cef_installer.py {0} {1}
- Reenviar los registros de Common Event Format (CEF) al agente de Syslog
Establezca la solución de seguridad para enviar los mensajes de Syslog en formato CEF a la máquina proxy. Asegúrese de enviar los registros al puerto TCP 514 en la dirección IP de la máquina.
- Validación de la conexión
Siga las instrucciones para validar la conectividad:
Abra Log Analytics para comprobar si los registros se reciben con el esquema CommonSecurityLog.
La conexión tarda unos 20 minutos en empezar a transmitir datos al área de trabajo.
Si no se reciben los registros, ejecute el siguiente script de validación de conectividad:
- Asegúrese de tener Python en la máquina con el siguiente comando: python -version
- Debe tener permisos elevados (sudo) en la máquina.
Ejecute el comando siguiente para validar la conectividad:
sudo wget -O cef_troubleshoot.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/CEF/cef_troubleshoot.py&&sudo python cef_troubleshoot.py {0}
- Proteja la máquina
Asegúrese de configurar la seguridad de la máquina de acuerdo con la directiva de seguridad de su organización.
Pasos siguientes
Para obtener más información, vaya a la solución relacionada en Azure Marketplace.