[非推奨]Microsoft Sentinel 用レガシ エージェント コネクタを使用した AI Vectra Stream
重要
多くのアプライアンスおよびデバイスからのログ収集が、AMA 経由の Common Event Format (CEF)、AMA 経由の Syslog、または Microsoft Sentinel の AMA データ コネクタ経由のカスタム ログでサポートされるようになりました。 詳細については、「Microsoft Sentinel データ コネクタを見つける」を参照してください。
AI Vectra Stream コネクタを使用すると、Vectra センサーによってネットワークとクラウドで収集されたネットワーク メタデータを Microsoft Sentinel に送信できます
これは自動生成されたコンテンツです。 変更については、ソリューション プロバイダーにお問い合わせください。
コネクタの属性
| コネクタ属性 | 説明 |
|---|---|
| Log Analytics テーブル | VectraStream_CL |
| データ収集ルールのサポート | 現在、サポートされていません |
| サポートしているもの | Vectra AI |
クエリのサンプル
すべての DNS クエリを一覧表示する
VectraStream
| where metadata_type == "metadat_dns"
| project orig_hostname, id_orig_h, resp_hostname, id_resp_h, id_resp_p, qtype_name, ['query'], answers
種類ごとの DNS 要求の数
VectraStream
| where metadata_type == "metadat_dns"
| summarize count() by qtype_name
既存以外のドメインに対する上位 10 個のクエリ
VectraStream
| where metadata_type == "metadat_dns"
| where rcode_name == "NXDomain"
| summarize Count=count() by tostring(query)
| order by Count desc
| limit 10
非エフェメラル Diffie-Hellman キー交換を使用しているホストと Web サイト
VectraStream
| where metadata_type == "metadat_dns"
| where cipher contains "TLS_RSA"
| distinct orig_hostname, id_orig_h, id_resp_h, server_name, cipher
| project orig_hostname, id_orig_h, id_resp_h, server_name, cipher
前提条件
レガシ エージェント経由で AI Vectra Stream と統合するには、次の機能があることを確認します。
- Vectra AI Brain: JSON で Stream メタデータをエクスポートするように構成する必要があります
ベンダーのインストール手順
注意
このデータ コネクタは、Kusto 関数に基づくパーサー (Microsoft Sentinel ソリューションと共にデプロイされている VectraStream) を利用して期待どおりに動作します。
- Linux 用エージェントをインストールおよびオンボードする
別の Linux インスタンスに Linux エージェントをインストールします。
ログは Linux エージェントからのみ収集されます。
- 収集するログを構成する
次の構成手順に従って、Vectra Stream のログを Microsoft Sentinel に取り込みます。 Log Analytics エージェントは、カスタム JSON を Azure Monitor に送信するために利用され、メタデータをカスタム テーブルに保管できるようにします。 詳細については、Azure Monitor のドキュメントを参照してください。
Log Analytics エージェントの構成ファイル VectraStream.conf をダウンロードします (Vectra ソリューション内の Connector フォルダーにあります: https://aka.ms/sentinel-aivectrastream-conf)。
Azure Log Analytics エージェントをインストールしたサーバーにログインします。
VectraStream.conf を /etc/opt/microsoft/omsagent/workspace_id/conf/omsagent.d/ フォルダーにコピーします。
VectraStream.conf を次のように編集します。
i. 必要に応じて、データを送信する代替ポートを構成します。 既定のポートは 29009 です。
ii. workspace_id を実際のワークスペース ID の値に置き換えます。
変更を保存し、次のコマンドを使用して Linux サービス用 Azure Log Analytics エージェントを再起動します: sudo /opt/microsoft/omsagent/bin/service_control restart
Vectra AI Stream の構成と接続
Log Analytics エージェントを使用して JSON 形式の Stream メタデータを Microsoft Sentinel ワークスペースに転送するように Vectra AI Brain を構成します。
Vectra UI から、[Settings] (設定) > [Cognito Stream] (Cognito ストリーム) に移動し、宛先の構成を編集します。
[Publisher: RAW JSON] を選択します
サーバーの IP またはホスト名 (Log Analytics エージェントを実行するホスト) を設定します
すべてのポートを 29009 に設定します (このポートは必要に応じて変更できます)
保存
ログの種類を設定します (使用可能なすべてのログの種類を選択します)
[設定] メニューの [保存]
次の手順
詳細については、Azure Marketplace の関連ソリューションに関するページを参照してください。