Conector Tenable Identity Exposure para Microsoft Sentinel

O conector Tenable Identity Exposure permite que indicadores de exposição, indicadores de ataque e logs de fluxo de trilha sejam ingeridos no Microsoft Sentinel. Os diferentes livros de trabalho e analisadores de dados permitem manipular mais facilmente logs e monitorar seu ambiente do Active Directory. Os modelos analíticos permitem automatizar respostas sobre diferentes eventos, exposições e ataques.

Esse é conteúdo gerado automaticamente. Para alterações, entre em contato com o provedor da solução.

Atributos do conector

Atributo do conector	Description
Alias de função do Kusto	afad_parser
Tabela(s) do Log Analytics	Tenable_IE_CL
Suporte às regras de coleta de dados	Sem suporte no momento
Com suporte por	Tenable

Exemplos de consulta

Obter o número de alertas disparados por cada IoE

afad_parser

| where MessageType == 0

| summarize AlertCount = count() by Codename

Obter todos os alertas do IoE com severidade superior ao limite

let threshold = 2;
let SeverityTable=datatable(Severity:string,Level:int) [
"low", 1,
"medium", 2,
"high", 3,
"critical", 4
];
afad_parser

| where MessageType == 0

| lookup kind=leftouter SeverityTable on Severity

| where Level >= ['threshold']

Obter todos os alertas do IoE das últimas 24 horas

afad_parser 
| where MessageType == 0 and TimeGenerated > ago(1d)

Obter todos os alertas do IoE dos últimos sete dias

afad_parser 
| where MessageType == 0 and TimeGenerated > ago(7d)

Obter todos os alertas do IoE dos últimos 30 dias

afad_parser 
| where MessageType == 0 and TimeGenerated > ago(30d)

Obter todas as alterações de fluxo de trilha das últimas 24 horas

afad_parser 
| where MessageType == 1 and TimeGenerated > ago(1d)

Obter todas as alterações de fluxo de trilha dos últimos sete dias

afad_parser 
| where MessageType == 1 and TimeGenerated > ago(7d)

Obter o número de alertas disparados por cada IoA

afad_parser

| where MessageType == 2

| summarize AlertCount = count() by Codename

Obter todos os alertas do IoE dos últimos 30 dias

afad_parser 
| where MessageType == 2 and TimeGenerated > ago(30d)

Pré-requisitos

Para se integrar ao Tenable Identity Exposure, verifique se você tem:

• Acesso à Configuração do TenableIE: permissões para configurar o mecanismo de alerta do syslog

Instruções de instalação do fornecedor

Este conector de dados depende do afad_parser baseado em uma função Kusto para funcionar conforme o esperado, que é implantado com a Solução Microsoft Sentinel.

1. Configurar o servidor Syslog

   Primeiro, você precisará de um servidor Syslog do Linux para o qual o TenableIE para enviará os logs. Geralmente, você pode executar o rsyslog no Ubuntu. Em seguida, você pode configurar esse servidor como desejar, mas é recomendável poder gerar logs do TenableIE em um arquivo separado.

   Configure o rsyslog para aceitar logs do seu endereço IP do TenableIE.:

   sudo -i
   
   # Set TenableIE source IP address
   export TENABLE_IE_IP={Enter your IP address}
   
   # Create rsyslog configuration file
   cat > /etc/rsyslog.d/80-tenable.conf << EOF
   \$ModLoad imudp
   \$UDPServerRun 514
   \$ModLoad imtcp
   \$InputTCPServerRun 514
   \$AllowedSender TCP, 127.0.0.1, $TENABLE_IE_IP
   \$AllowedSender UDP, 127.0.0.1, $TENABLE_IE_IP
   \$template MsgTemplate,"%TIMESTAMP:::date-rfc3339% %HOSTNAME% %programname%[%procid%]:%msg%\n"
   \$template remote-incoming-logs, "/var/log/%PROGRAMNAME%.log"
   *.* ?remote-incoming-logs;MsgTemplate
   EOF
   
   # Restart rsyslog
   systemctl restart rsyslog
   

2. Instalar e integrar o Agente da Microsoft para Linux

   O agente do OMS receberá os eventos de syslog do TenableIE e o publicará no Microsoft Sentinel.

3. Verificar os logs do agente no servidor Syslog

   tail -f /var/opt/microsoft/omsagent/log/omsagent.log
   

4. Configurar o TenableIE para enviar logs para o servidor Syslog

   No portal do TenableIE, acesse Sistema, Configuração e Syslog. A partir daí, você pode criar um novo alerta do Syslog em direção ao servidor Syslog.

   Feito isso, verifique se os logs foram corretamente coletados no servidor em um arquivo separado (para fazer isso, você pode usar o botãoTestar a configuração na configuração de alerta do Syslog no TenableIE). Caso tenha usado o modelo de início rápido, por padrão, o servidor Syslog escutará a porta 514 em UDP e 1514 no TCP, sem TLS.

5. Configurar os logs personalizados

Configurar o agente para coletar os logs.

1. No Microsoft Sentinel, acesse Configuração ->Configurações ->Configurações do Workspace ->Logs personalizados.

2. Clique em +Adicionar personalizado

3. Carregue um arquivo Syslog do TenableIE.log de amostra do computador Linux executando servidor Syslog e clique em Avançar

4. Defina o delimitador de registro como Nova Linha, se ainda não tiver feito isso, e clique em Avançar.

5. Selecione Linux e insira o caminho do arquivo para o arquivo Syslog, clique em + e em Avançar. O local padrão do arquivo é /var/log/TenableIE.log. Se você tiver uma versão do <Tenable 3.1.0, também deverá adicionar esse local de arquivo do Linux/var/log/AlsidForAD.log.

6. Defina o Nome como Tenable_IE_CL (o Azure adiciona _CL automaticamente ao final do nome. Deve haver apenas um. Verifique se o nome não está como Tenable_IE_CL_CL).

7. Clique em Avançar. Você verá um currículo e, em seguida, clique em Criar.

8. Aproveite!

Agora você pode receber logs na tabela Tenable_IE_CL. Os dados dos logs podem ser analisados com a função afad_parser() usada por todos os exemplos de consulta, as pastas de trabalho e os modelos analíticos.

Próximas etapas

Para obter mais informações, acesse a solução relacionada no Azure Marketplace.