Microsoft Sentinel 用の Tenable Identity Exposure コネクタ

Tenable Identity Exposure コネクタを使用すると、露出のインジケーター、攻撃のインジケーター、およびトレイルフロー ログを Microsoft Sentinel に取り込むことができます。さまざまな作業ブックとデータ パーサーを使用すると、より簡単にログを操作し、Active Directory 環境を監視できます。 分析テンプレートを使用すると、さまざまなイベント、露出、攻撃に関する応答を自動化できます。

これは自動生成されたコンテンツです。 変更については、ソリューション プロバイダーにお問い合わせください。

コネクタの属性

コネクタ属性	説明
Kusto 関数エイリアス	afad_parser
Log Analytics テーブル	Tenable_IE_CL
データ収集ルールのサポート	現在、サポートされていません
サポートしているもの	Tenable

クエリのサンプル

各 IoE によってトリガーされるアラートの数を取得する

afad_parser

| where MessageType == 0

| summarize AlertCount = count() by Codename

重大度がしきい値を超えるすべての IoE アラートを取得する

let threshold = 2;
let SeverityTable=datatable(Severity:string,Level:int) [
"low", 1,
"medium", 2,
"high", 3,
"critical", 4
];
afad_parser

| where MessageType == 0

| lookup kind=leftouter SeverityTable on Severity

| where Level >= ['threshold']

過去 24 時間のすべての IoE アラートを取得する

afad_parser 
| where MessageType == 0 and TimeGenerated > ago(1d)

過去 7 日間のすべての IoE アラートを取得する

afad_parser 
| where MessageType == 0 and TimeGenerated > ago(7d)

過去 30 日間のすべての IoE アラートを取得する

afad_parser 
| where MessageType == 0 and TimeGenerated > ago(30d)

過去 24 時間のすべてのトレイルフローの変更を取得する

afad_parser 
| where MessageType == 1 and TimeGenerated > ago(1d)

過去 7 日間のすべてのトレイルフローの変更を取得する

afad_parser 
| where MessageType == 1 and TimeGenerated > ago(7d)

各 IoA によってトリガーされるアラートの数を取得する

afad_parser

| where MessageType == 2

| summarize AlertCount = count() by Codename

過去 30 日間のすべての IoA アラートを取得する

afad_parser 
| where MessageType == 2 and TimeGenerated > ago(30d)

前提条件

Tenable Identity Exposure との統合を行うには、以下を所有していることを確認してください。

• TenableIE 構成へのアクセス: Syslog アラート エンジンを構成するためのアクセス許可

ベンダーのインストール手順

このデータ コネクタは、想定通りの動作のために Microsoft Sentinel Solution と共にデプロイされる Kusto 関数をベースにする afad_parser に依存しています。

1. Syslog サーバーを構成する

   まず、TenableIE がログを送信する先となる Linux Syslog サーバーが必要になります。 通常は、Ubuntu で rsyslog を実行できます。 このサーバーはその後必要に応じて構成できますが、TenableIE ログを個別のファイルに出力できるようにすることをお勧めします。

   TenableIE の IP アドレスからのログを受け入れるように rsyslog を構成します。

   sudo -i
   
   # Set TenableIE source IP address
   export TENABLE_IE_IP={Enter your IP address}
   
   # Create rsyslog configuration file
   cat > /etc/rsyslog.d/80-tenable.conf << EOF
   \$ModLoad imudp
   \$UDPServerRun 514
   \$ModLoad imtcp
   \$InputTCPServerRun 514
   \$AllowedSender TCP, 127.0.0.1, $TENABLE_IE_IP
   \$AllowedSender UDP, 127.0.0.1, $TENABLE_IE_IP
   \$template MsgTemplate,"%TIMESTAMP:::date-rfc3339% %HOSTNAME% %programname%[%procid%]:%msg%\n"
   \$template remote-incoming-logs, "/var/log/%PROGRAMNAME%.log"
   *.* ?remote-incoming-logs;MsgTemplate
   EOF
   
   # Restart rsyslog
   systemctl restart rsyslog
   

2. Linux 用 Microsoft エージェントをインストールしてオンボードする

   OMS エージェントは TenableIE Syslog イベントを受信し、それを Microsoft Sentinel で発行します。

3. Syslog サーバー上のエージェント ログを確認する

   tail -f /var/opt/microsoft/omsagent/log/omsagent.log
   

4. ログを Syslog サーバーに送信するように TenableIE を構成する

   TenableIE ポータルで、[システム]、[構成]、[Syslog] の順に移動します。 そこから、Syslog サーバーに対して新しい Syslog アラートを作成できます。

   これが完了したら、ログがサーバー上で個別のファイルに正しく収集されていることを確認します (これを行うために、TenableIE 内の [Syslog アラート構成] の [構成のテスト] ボタンを使用できます)。 クイックスタート テンプレートを使用した場合、Syslog サーバーでは、既定で TLS を使用せずにポート 514 (UDP) および 1514 (TCP) でリッスンします。

5. カスタム ログを構成する

ログを収集するようにエージェントを構成します。

1. Microsoft Sentinel で、[構成] ->[設定] ->[ワークスペース設定] ->[カスタム ログ] に移動します。

2. [カスタム ログの追加] をクリックします。

3. Syslog サーバーを実行している Linux マシンからサンプルの TenableIE.log Syslog ファイルをアップロードし、[次へ] をクリックします

4. まだ行っていない場合は、レコード区切り記号を [改行] に設定し [次へ] をクリックします。

5. [Linux] を選択し、Syslog ファイルへのファイル パスを入力した後、+、[次へ] の順にクリックします。 ファイルの既定の場所は /var/log/TenableIE.log であり、Tenable バージョン <3.1.0 を使用している場合は、Linux ファイルの場所 /var/log/AlsidForAD.log も追加する必要があります。

6. [名前] を Tenable_IE_CL に設定します (Azure によって名前の末尾に _CL が自動的に追加されます。これは 1 つだけである必要があるため、名前が Tenable_IE_CL_CL になっていないことを確認してください)。

7. [次へ] をクリックすると、概要が表示されるので、[作成] をクリックします。

8. お楽しみに!

これで、Tenable_IE_CL テーブルでログを受信できるようになったはずです。ログ データは、すべてのクエリ サンプル、ブック、分析テンプレートで使用される afad_parser() 関数を使用して解析できます。

次のステップ

詳細については、Azure Marketplace の関連ソリューションに関するページを参照してください。