次の方法で共有


[非推奨]Microsoft Sentinel 用コネクタ経由の WithSecure Elements

重要

多くのアプライアンスおよびデバイスからのログ収集が、AMA 経由の Common Event Format (CEF)、AMA 経由の Syslog、または Microsoft Sentinel の AMA データ コネクタ経由のカスタム ログでサポートされるようになりました。 詳細については、「Microsoft Sentinel データ コネクタを見つける」を参照してください。

WithSecure Elements は、統合されたクラウドベースのサイバー セキュリティ プラットフォームです。 WithSecure Elements コネクタを Microsoft Sentinel に接続することで、セキュリティ イベントを Syslog 経由で Common Event Format (CEF) で受信できます。 オンプレミスまたはクラウドに "Elements Connector" をデプロイする必要があります。 Common Event Format (CEF) により、各データ ログに対してネイティブ検索と相関関係、アラート、脅威インテリジェンス エンリッチメントが提供されます。

これは自動生成されたコンテンツです。 変更については、ソリューション プロバイダーにお問い合わせください。

コネクタの属性

コネクタ属性 説明
Log Analytics テーブル CommonSecurityLog (WithSecure イベント)
データ収集ルールのサポート ワークスペース変換 DCR
サポートしているもの WithSecure

クエリのサンプル

すべてのログ

CommonSecurityLog

| where DeviceVendor == "WithSecure™"

| sort by TimeGenerated

ベンダーのインストール手順

  1. Linux Syslog エージェントの構成

Linux エージェントをインストールし、Common Event Format (CEF) Syslog メッセージを収集して Microsoft Sentinel に転送するようにエージェントを構成します。

すべてのリージョンのデータが選択したワークスペースに格納されることに注目してください

1.1 Linux コンピューターを選択または作成する

Microsoft Sentinel が WithSecurity ソリューションと Sentinel の間のプロキシとして使用する Linux コンピューターを選択または作成します。 このコンピューターは、オンプレミス環境、Microsoft Azure、またはその他のクラウドベースにすることができます。

Linux に syslog-ngpython/python3 がインストールされている必要があります。

1.2 Linux コンピューターに CEF コレクターをインストールする

Linux コンピューターに Microsoft Monitoring Agent をインストールし、必要なポートでリッスンして Microsoft Sentinel ワークスペースにメッセージを転送するようにコンピューターを構成します。 CEF コレクターにより、ポート 514 TCP で CEF メッセージが収集されます。

  1. コマンド python -version を使用して、コンピューターに Python がインストールされていることを確認します。
  1. マシンに対する管理者特権のアクセス許可 (sudo) が必要です。

次のコマンドを実行し、CEF コレクターをインストールして適用します。

sudo wget -O cef_installer.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/CEF/cef_installer.py&&sudo python cef_installer.py {0} {1}

python3 の場合は、次のコマンドを使用します。

sudo wget -O cef_installer.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/CEF/cef_installer.py&&sudo python3 cef_installer.py {0} {1}

  1. WithSecure Elements コネクタから Syslog エージェントにデータを転送する

ここでは、Elements コネクタをインストールして構成する手順について説明します。

2.1 コネクタ サブスクリプションの注文

コネクタ サブスクリプションがまだ注文されていない場合は、Elements Portal で EPP に移動します。 次に、[ダウンロード] に移動し、[Elements コネクタ] セクションで [サブスクリプション キーの作成] ボタンをクリックします。 [サブスクリプション] でサブスクリプション キーを確認できます。

2.2 コネクタのダウンロード

[ダウンロード] に移動し、[WithSecure Elements コネクタ] セクションで適切なインストーラーを選択します。

2.3 管理 API キーの作成

EPP で右上隅のアカウント設定を開きます。 次に、[管理 API キーの取得] を選択します。 キーが以前に作成されている場合は、そこでも読み取ることができます。

2.4 コネクタのインストール

Elements コネクタをインストールするには、Elements コネクタのドキュメントに従います。

2.5 イベント転送の構成

インストール中に API アクセスが構成されていない場合は、「Elements コネクタの API アクセスの構成」に従います。 次に、[EPP]、[プロファイル] の順に移動し、コネクタ プロファイルを確認できる [For Connector] (コネクタ) を使用します。 新しいプロファイルを作成します (または、読み取り専用ではない既存のプロファイルを編集します)。 [イベント転送] でそれを有効にします。 SIEM システム アドレス: 127.0.0.1:514。 形式を [Common Event Format] に設定します。 プロトコルは [TCP] です。 プロファイルを保存し、[デバイス] タブの [Elements コネクタ] に割り当てます。

  1. 接続の検証

手順に従って接続を検証します。

Log Analytics を開き、CommonSecurityLog スキーマを使用してログが受信されているかどうかを確認します。

接続によってデータがワークスペースにストリーミングされるまで約 20 分かかる場合があります。

ログが受信されない場合は、次の接続検証スクリプトを実行します。

  1. コマンド python -version を使用して、コンピューターに Python がインストールされていることを確認します
  1. コンピューターに対する管理者特権のアクセス許可 (sudo) が必要です

次のコマンドを実行して、接続を検証します。

sudo wget -O cef_troubleshoot.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/CEF/cef_troubleshoot.py&&sudo python cef_troubleshoot.py {0}

python3 の場合は、次のコマンドを使用します。

sudo wget -O cef_troubleshoot.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/CEF/cef_troubleshoot.py&&sudo python3 cef_troubleshoot.py {0}

  1. コンピューターをセキュリティで保護する

必ず、組織のセキュリティ ポリシーに従ってコンピューターのセキュリティを構成してください

詳細情報 >

次の手順

詳細については、Azure Marketplace の関連ソリューションに関するページを参照してください。