Compartir a través de

Conector de exposición de identidades Tenable para Microsoft Sentinel

  • Artículo

El conector de exposición de identidades Tenable permite ingerir indicadores de exposición, indicadores de ataque y registros de flujo de seguimiento en Microsoft Sentinel. Los diferentes libros de trabajo y analizadores de datos le permiten manipular registros y supervisar más fácilmente el entorno de Active Directory. Las plantillas analíticas permiten automatizar las respuestas con respecto a diferentes eventos, exposiciones y ataques.

Este contenido se genera automáticamente. Para los cambios, póngase en contacto con el proveedor de soluciones.

Atributos del conector

Atributo del conector Descripción
Alias de función de Kusto afad_parser
Tabla de Log Analytics Tenable_IE_CL
Compatibilidad con reglas de recopilación de datos No se admite actualmente.
Compatible con Tenable

Ejemplos de consultas

Obtener el número de alertas desencadenadas por cada IoE

afad_parser

| where MessageType == 0

| summarize AlertCount = count() by Codename

Obtener todas las alertas de IoE con gravedad superior al umbral

let threshold = 2;
let SeverityTable=datatable(Severity:string,Level:int) [
"low", 1,
"medium", 2,
"high", 3,
"critical", 4
];
afad_parser

| where MessageType == 0

| lookup kind=leftouter SeverityTable on Severity

| where Level >= ['threshold']

Obtener todas las alertas de IoE de las últimas 24 horas

afad_parser 
| where MessageType == 0 and TimeGenerated > ago(1d)

Obtener todas las alertas de IoE durante los últimos 7 días

afad_parser 
| where MessageType == 0 and TimeGenerated > ago(7d)

Obtener todas las alertas de IoE durante los últimos 30 días

afad_parser 
| where MessageType == 0 and TimeGenerated > ago(30d)

Obtener todos los cambios del flujo de seguimiento de las últimas 24 horas

afad_parser 
| where MessageType == 1 and TimeGenerated > ago(1d)

Obtener todos los cambios de flujo de seguimiento de los últimos 7 días

afad_parser 
| where MessageType == 1 and TimeGenerated > ago(7d)

Obtener el número de alertas desencadenadas por cada IoA

afad_parser

| where MessageType == 2

| summarize AlertCount = count() by Codename

Obtener todas las alertas de IoA durante los últimos 30 días

afad_parser 
| where MessageType == 2 and TimeGenerated > ago(30d)

Requisitos previos

Para realizar la integración con Tenable Identity Exposure, asegúrese de que tiene:

  • Acceso a la configuración de TenableIE: Permisos para configurar el motor de alertas de syslog

Instrucciones de instalación del proveedor

Este conector de datos depende de afad_parser en función de una función de Kusto para que funcione según lo previsto, que se implementa con la solución de Microsoft Sentinel.

  1. Configuración del servidor de Syslog

    Primero necesitará un servidor Syslog de Linux al que TenableIE enviará registros. Normalmente, puede ejecutar rsyslog en Ubuntu. A continuación, puede configurar este servidor como desee, pero se recomienda poder generar registros TenableIE en un archivo independiente.

    Configure rsyslog para aceptar registros de la dirección IP de TenableIE.:

    sudo -i

# Set TenableIE source IP address
export TENABLE_IE_IP={Enter your IP address}

# Create rsyslog configuration file
cat > /etc/rsyslog.d/80-tenable.conf << EOF
\$ModLoad imudp
\$UDPServerRun 514
\$ModLoad imtcp
\$InputTCPServerRun 514
\$AllowedSender TCP, 127.0.0.1, $TENABLE_IE_IP
\$AllowedSender UDP, 127.0.0.1, $TENABLE_IE_IP
\$template MsgTemplate,"%TIMESTAMP:::date-rfc3339% %HOSTNAME% %programname%[%procid%]:%msg%\n"
\$template remote-incoming-logs, "/var/log/%PROGRAMNAME%.log"
*.* ?remote-incoming-logs;MsgTemplate
EOF

# Restart rsyslog
systemctl restart rsyslog

  2. Instalación e incorporación del agente de Microsoft para Linux

    El agente de OMS recibirá los eventos de syslog TenableIE y lo publicará en Microsoft Sentinel.

  3. Comprobación de los registros del agente en el servidor de Syslog

    tail -f /var/opt/microsoft/omsagent/log/omsagent.log

  4. Configuración de TenableIE para enviar registros al servidor de Syslog

    En el portal de TenableIE, vaya a Sistema, Configuración y, a continuación, Syslog. Desde allí puede crear una nueva alerta de Syslog para el servidor de Syslog.

    Una vez hecho esto, compruebe que los registros se recopilan correctamente en el servidor en un archivo independiente (para ello, puede usar el botón Probar la configuración en la configuración de alertas de Syslog en TenableIE). Si ha usado la plantilla de inicio rápido, el servidor de Syslog escuchará de forma predeterminada en el puerto 514 en UDP y en 1514 en TCP, sin TLS.

  5. Configuración de los registros personalizados

Configure el agente para recopilar los registros.

  1. En Microsoft Sentinel, vaya a Configuración ->Configuración ->Configuración del área de trabajo ->Registros personalizados.

  2. Haga clic en Agregar registro personalizado.

  3. Cargue un archivo Syslog de ejemplo TenableIE.log desde la máquina de Linux que ejecuta el servidor Syslog y haga clic en Siguiente

  4. Establezca el delimitador de registros en Nueva línea si aún no lo ha hecho y haga clic en Siguiente.

  5. Seleccione Linux y escriba la ruta de acceso del archivo al archivo Syslog, haga clic + en Siguiente. La ubicación predeterminada del archivo es /var/log/TenableIE.log si tiene una versión Tenable <3.1.0, también debe agregar esta ubicación de archivo de Linux /var/log/AlsidForAD.log.

  6. Establezca el Nombre en Tenable_IE_CL (Azure agrega automáticamente _CL al final del nombre, debe haber solo uno, asegúrese de que el nombre no sea Tenable_IE_CL_CL).

  7. Haga clic en Siguiente, verá un currículum y, a continuación, haga clic en Crear.

  8. Disfrútelo.

Ahora debería poder recibir registros en la tabla de Tenable_IE_CL, los datos de registros se pueden analizar mediante la función afad_parser(), que usan todos los ejemplos de consulta, libros y plantillas analíticas.

Pasos siguientes

Para obtener más información, vaya a la solución relacionada en Azure Marketplace.