Connettore Claroty xDome per Microsoft Sentinel
Claroty xDome offre funzionalità complete di sicurezza e gestione degli avvisi per ambienti di rete sanitaria e industriale. È progettato per eseguire il mapping di più tipi di origine, identificare i dati raccolti e integrarli nei modelli di dati di Microsoft Sentinel. Ciò comporta la possibilità di monitorare tutte le potenziali minacce negli ambienti sanitari e industriali in un'unica posizione, causando un monitoraggio della sicurezza più efficace e un comportamento di sicurezza più forte.
Questo contenuto è generato automaticamente. Per modifiche, contattare il provider di soluzioni.
Attributi connettore
| Attributo connettore | Descrizione |
|---|---|
| Tabelle Log Analytics | CommonSecurityLog (ClarotyxDome) |
| Supporto regole di raccolta dati | Trasformazione area di lavoro DCR |
| Supportata da: | Supporto tecnico xDome |
Esempi di query
Recuperare i log da Claroty xDome
CommonSecurityLog
| where DeviceVendor in ("Medigate", "Claroty")
| sort by TimeGenerated
Istruzioni per l’installazione di Vendor
1.0 Configurazione dell'agente Syslog Linux
Installare e configurare l'agente Linux per raccogliere i messaggi Syslog di Common Event Format (CEF) e inoltrarli a Microsoft Sentinel.
Si noti che i dati da tutte le aree verranno archiviati nell'area di lavoro selezionata
1.1 Selezionare o creare una macchina virtuale Linux
Selezionare o creare una macchina virtuale Linux che Microsoft Sentinel userà come proxy tra la soluzione di sicurezza e Microsoft Sentinel. La macchina virtuale può risiedere nell'ambiente locale, in Azure o in altri cloud.
1.2 Installare l'agente di raccolta CEF nel computer Linux
Installare Microsoft Monitoring Agent nel computer Linux, configurare il computer per l'ascolto sulla porta necessaria e inoltrare i messaggi all'area di lavoro di Microsoft Sentinel. L'agente di raccolta CEF raccoglie messaggi CEF sulla porta 514 TCP.
Assicurarsi di avere Python nel computer usando il comando seguente: python --version.
È necessario disporre di autorizzazioni elevate (sudo) nel computer.
Eseguire il comando seguente per installare e applicare l'agente di raccolta CEF:
sudo wget -O cef_installer.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/CEF/cef_installer.py&&sudo python cef_installer.py {0} {1}Inoltrare log in formato CEF (Common Event Format) all'agente di Syslog
Configurare l'integrazione di Claroty xDome - Microsoft Sentinel per raccogliere i messaggi Syslog di Common Event Format (CEF) e inoltrarli a Microsoft Sentinel.
Convalida connessione
Seguire le istruzioni per convalidare la connettività:
Aprire Log Analytics per verificare se i log vengono ricevuti usando lo schema CommonSecurityLog.
Lo streaming dei dati nell'area di lavoro da parte della connessione potrebbe richiedere circa 20 minuti.
Se i log non vengono ricevuti, eseguire lo script di convalida della connettività seguente:
Assicurarsi di avere Python nel computer usando il comando seguente: python --version
È necessario disporre di autorizzazioni elevate (sudo) nel computer
Eseguire il comando seguente per convalidare la connettività:
sudo wget -O cef_troubleshoot.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/CEF/cef_troubleshoot.py&&sudo python cef_troubleshoot.py {0}Proteggere il computer
Assicurarsi di configurare la sicurezza del computer in base ai criteri di sicurezza dell'organizzazione
Passaggi successivi
Per altre informazioni, visitare la soluzione correlata in Azure Marketplace.