다음을 통해 공유

Microsoft Sentinel용 Corelight Connector Exporter 커넥터

  • 아티클

Corelight 데이터 커넥터를 사용하면 Microsoft Sentinel을 사용하는 인시던트 응답자와 위협 헌터가 더 빠르고 효과적으로 작업할 수 있습니다. 데이터 커넥터를 사용하면 Corelight 센서를 통해 ZeekSuricata의 이벤트를 Microsoft Sentinel로 수집할 수 있습니다.

자동 생성된 콘텐츠입니다. 변경은 솔루션 공급자에게 문의하세요.

커넥터 특성

커넥터 특성 설명
Log Analytics 테이블 corelight_bacnet
corelight_capture_loss
corelight_cip
corelight_conn_long
corelight_conn_red
corelight_conn
corelight_corelight_burst
corelight_corelight_overall_capture_loss
corelight_corelight_profiling
corelight_datared
corelight_dce_rpc
corelight_dga
corelight_dhcp
corelight_dnp3
corelight_dns_red
corelight_dns
corelight_dpd
corelight_encrypted_dns
corelight_enip_debug
corelight_enip_list_identity
corelight_enip
corelight_etc_viz
corelight_files_red
corelight_files
corelight_ftp
corelight_generic_dns_tunnels
corelight_generic_icmp_tunnels
corelight_http2
corelight_http_red
corelight_http
corelight_icmp_specific_tunnels
corelight_intel
corelight_ipsec
corelight_irc
corelight_iso_cotp
corelight_kerberos
corelight_known_certs
corelight_known_devices
corelight_known_domains
corelight_known_hosts
corelight_known_names
corelight_known_remotes
corelight_known_services
corelight_known_users
corelight_local_subnets_dj
corelight_local_subnets_graphs
corelight_local_subnets
corelight_log4shell
corelight_modbus
corelight_mqtt_connect
corelight_mqtt_publish
corelight_mqtt_subscribe
corelight_mysql
corelight_notice
corelight_ntlm
corelight_ntp
corelight_ocsp
corelight_openflow
corelight_packet_filter
corelight_pe
corelight_profinet_dce_rpc
corelight_profinet_debug
corelight_profinet
corelight_radius
corelight_rdp
corelight_reporter
corelight_rfb
corelight_s7comm
corelight_signatures
corelight_sip
corelight_smartpcap_stats
corelight_smartpcap
corelight_smb_files
corelight_smb_mapping
corelight_smtp_links
corelight_smtp
corelight_snmp
corelight_socks
corelight_software
corelight_specific_dns_tunnels
corelight_ssh
corelight_ssl_red
corelight_ssl
corelight_stats
corelight_stepping
corelight_stun_nat
corelight_stun
corelight_suricata_corelight
corelight_suricata_eve
corelight_suricata_stats
corelight_suricata_zeek_stats
corelight_syslog
corelight_tds_rpc
corelight_tds_sql_batch
corelight_tds
corelight_traceroute
corelight_tunnel
Corelight
corelight_unknown_smartpcap
corelight_util_stats
corelight_vpn
corelight_weird_red
corelight_weird_stats
corelight_weird
corelight_wireguard
corelight_x509_red
corelight_x509
corelight_zeek_doctor
데이터 수집 규칙 지원 작업 영역 변환 DCR
다음에서 지원 Corelight

쿼리 샘플

상위 10개의 클라이언트(원본 IP)

Corelight
	
| summarize count() by id_orig_h
	
| top 10 by count_

공급업체 설치 지침

참고 항목

이 데이터 커넥터는 Microsoft Sentinel 솔루션과 함께 배포되는 Corelight가 예상대로 작동하도록 Kusto 함수를 기반으로 하는 파서에 따라 작동합니다.

  1. 파일 가져오기

TAM, SE 또는 info@corelight.com에 문의하여 Microsoft Sentinel 통합에 필요한 파일을 가져옵니다.

  1. 샘플 데이터를 재생합니다.

샘플 데이터를 재생하여 Log Analytics 작업 영역에서 필요한 테이블을 만듭니다.

샘플 데이터 보내기(Log Analytics 작업 영역당 한 번만 필요)

./send_samples.py --workspace-id {0} --workspace-key {1}

  1. 사용자 지정 내보내기를 설치합니다.

사용자 지정 내보내기 또는 logstash 컨테이너를 설치합니다.

  1. Azure Log Analytics 에이전트에 로그를 보내도록 Corelight 센서를 구성합니다.

다음 값을 사용하여 Microsoft Sentinel 내보내기를 사용하도록 Corelight 센서를 구성합니다. 또는 이러한 값으로 logstash 컨테이너를 구성하고 적절한 포트의 해당 컨테이너에 TCP를 통해 JSON을 보내도록 센서를 구성할 수 있습니다.

기본 작업 영역 키

다음 단계

자세한 내용을 보려면 Azure Marketplace의 관련 솔루션으로 이동합니다.