Partager via


Connecteur Tenable Identity Exposure pour Microsoft Sentinel

Le connecteur Tenable Identity Exposure permet aux indicateurs d’exposition, aux indicateurs d’attaque et aux journaux de flux de fin d’être ingérés dans Microsoft Sentinel. Les différents classeurs et analyseurs de données vous permettent de manipuler plus facilement les journaux et de superviser votre environnement Active Directory. Les modèles analytiques vous permettent d’automatiser les réponses concernant différents événements, expositions et attaques.

Ce contenu est généré automatiquement. Pour toute modification, contactez le fournisseur de la solution.

Attributs du connecteur

Attribut du connecteur Description
Alias de fonction Kusto afad_parser
Table(s) Log Analytics Tenable_IE_CL
Prise en charge des règles de collecte de données Non prise en charge pour le moment
Pris en charge par Tenable

Exemples de requête

Obtenir le nombre d’alertes déclenchées par chaque IoE

afad_parser

| where MessageType == 0

| summarize AlertCount = count() by Codename

Obtenir toutes les alertes IoE ayant une gravité supérieure à celle du seuil

let threshold = 2;
let SeverityTable=datatable(Severity:string,Level:int) [
"low", 1,
"medium", 2,
"high", 3,
"critical", 4
];
afad_parser

| where MessageType == 0

| lookup kind=leftouter SeverityTable on Severity

| where Level >= ['threshold']

Obtenir toutes les alertes IoE des dernières 24 heures

afad_parser 
| where MessageType == 0 and TimeGenerated > ago(1d)

Obtenir toutes les alertes IoE des 7 derniers jours

afad_parser 
| where MessageType == 0 and TimeGenerated > ago(7d)

Obtenir toutes les alertes IoE des 30 derniers jours

afad_parser 
| where MessageType == 0 and TimeGenerated > ago(30d)

Obtenir toutes les modifications du trailflow pour les dernières 24 heures

afad_parser 
| where MessageType == 1 and TimeGenerated > ago(1d)

Obtenir toutes les modifications du trailflow pour les 7 derniers jours

afad_parser 
| where MessageType == 1 and TimeGenerated > ago(7d)

Obtenir le nombre d’alertes déclenchées par chaque IoA

afad_parser

| where MessageType == 2

| summarize AlertCount = count() by Codename

Obtenir toutes les alertes IoA des 30 derniers jours

afad_parser 
| where MessageType == 2 and TimeGenerated > ago(30d)

Prérequis

Pour intégrer Tenable Identity Exposure, vérifiez que vous disposez des éléments suivants :

  • Accès à la configuration TenableIE : autorisations pour configurer le moteur d’alerte syslog

Instructions d’installation du fournisseur

Ce connecteur de données dépend de afad_parser basé sur une fonction Kusto pour fonctionner comme prévu, qui est déployé avec la solution Microsoft Sentinel.

  1. Configurer le serveur Syslog

    Tout d’abord, vous avez besoin d’un serveur Syslog Linux auquel TenableIE enverra les journaux. Généralement, vous pouvez exécuter rsyslog sur Ubuntu. Vous pouvez ensuite configurer ce serveur comme vous le souhaitez, mais il est recommandé de pouvoir générer des journaux TenableIE dans un fichier distinct.

    Configurez rsyslog pour accepter les journaux provenant de votre adresse IP TenableIE :

    sudo -i
    
    # Set TenableIE source IP address
    export TENABLE_IE_IP={Enter your IP address}
    
    # Create rsyslog configuration file
    cat > /etc/rsyslog.d/80-tenable.conf << EOF
    \$ModLoad imudp
    \$UDPServerRun 514
    \$ModLoad imtcp
    \$InputTCPServerRun 514
    \$AllowedSender TCP, 127.0.0.1, $TENABLE_IE_IP
    \$AllowedSender UDP, 127.0.0.1, $TENABLE_IE_IP
    \$template MsgTemplate,"%TIMESTAMP:::date-rfc3339% %HOSTNAME% %programname%[%procid%]:%msg%\n"
    \$template remote-incoming-logs, "/var/log/%PROGRAMNAME%.log"
    *.* ?remote-incoming-logs;MsgTemplate
    EOF
    
    # Restart rsyslog
    systemctl restart rsyslog
    
  2. Installer et intégrer l'agent Microsoft pour Linux

    L’agent OMS recevra les événements syslog TenableIE et les publiera dans Microsoft Sentinel.

  3. Vérifier les journaux de l’agent sur le serveur Syslog

    tail -f /var/opt/microsoft/omsagent/log/omsagent.log
    
  4. Configurer TenableIE pour envoyer des journaux à votre serveur Syslog

    Sur votre portail TenableIE, accédez à Système, Configuration, puis Syslog. À partir de là, vous pouvez créer une alerte Syslog destinée à votre serveur Syslog.

    Lorsque vous avez terminé, vérifiez que les journaux sont correctement collectés sur votre serveur dans un fichier distinct (pour ce faire, vous pouvez utiliser le bouton Tester la configuration dans la configuration d’alerte Syslog dans TenableIE). Si vous avez utilisé le modèle de démarrage rapide, le serveur Syslog écoute par défaut le port 514 dans UDP et 1514 dans TCP, sans TLS.

  5. Configurer les journaux personnalisés

Configurez l’agent pour collecter les journaux.

  1. Dans Microsoft Sentinel, accédez à Configuration ->Paramètres ->Paramètres de l’espace de travail ->Journaux personnalisés.

  2. Cliquez sur Ajouter un journal personnalisé.

  3. Chargez un exemple de fichier Syslog TenableIE.log à partir de la machine Linux exécutant le serveur Syslog, puis cliquez sur Suivant

  4. Définissez le délimiteur d’enregistrement sur Nouvelle ligne si ce n’est pas déjà le cas, puis cliquez sur Suivant.

  5. Sélectionnez Linux, puis entrez le chemin d’accès du fichier Syslog, cliquez sur +, puis sur Suivant. L’emplacement par défaut du fichier est /var/log/TenableIE.log si vous disposez d’une version Tenable <3.1.0, vous devez également ajouter cet emplacement de fichier Linux /var/log/AlsidForAD.log.

  6. Définissez le Nom sur Tenable_IE_CL (Azure ajoute automatiquement _CL à la fin du nom. Il ne doit y en avoir qu’un. Assurez-vous que le nom n’est pas Tenable_IE_CL_CL).

  7. Cliquez sur Suivant, vous verrez un résumé, puis cliquez sur Créer.

  8. Vous n’avez plus qu’à l’utiliser !

Vous devriez maintenant être en mesure de recevoir des journaux dans la table Tenable_IE_CL, les données des journaux peuvent être analysées à l’aide de la fonction afad_parser(), utilisée par tous les exemples de requête, les workbooks et les modèles analytiques.

Étapes suivantes

Pour plus d’informations, accédez à la solution associée dans la Place de marché Azure.