Dela via

Anslutningsprogram för identitetsexponering som kan användas för Microsoft Sentinel

  • Artikel

Med anslutningsprogrammet för exponering av identiteter kan indikatorer för exponering, indikatorer för angrepp och spårflödesloggar matas in i Microsoft Sentinel. Med de olika arbetsböckerna och dataparsarna kan du enklare manipulera loggar och övervaka din Active Directory-miljö. Med analysmallarna kan du automatisera svar om olika händelser, exponeringar och attacker.

Det här är automatiskt genererat innehåll. Om du vill ha ändringar kontaktar du lösningsleverantören.

Anslutningsattribut

Anslutningsattribut beskrivning
Kusto-funktionsalias afad_parser
Log Analytics-tabeller Tenable_IE_CL
Stöd för regler för datainsamling Stöds för närvarande inte
Stöds av Hållbar

Exempel på frågor

Hämta antalet aviseringar som utlöses av varje IoE

afad_parser

| where MessageType == 0

| summarize AlertCount = count() by Codename

Hämta alla IoE-aviseringar med allvarlighetsgrad som är överlägsen tröskelvärdet

let threshold = 2;
let SeverityTable=datatable(Severity:string,Level:int) [
"low", 1,
"medium", 2,
"high", 3,
"critical", 4
];
afad_parser

| where MessageType == 0

| lookup kind=leftouter SeverityTable on Severity

| where Level >= ['threshold']

Hämta alla IoE-aviseringar under de senaste 24 timmarna

afad_parser 
| where MessageType == 0 and TimeGenerated > ago(1d)

Hämta alla IoE-aviseringar för de senaste 7 dagarna

afad_parser 
| where MessageType == 0 and TimeGenerated > ago(7d)

Hämta alla IoE-aviseringar för de senaste 30 dagarna

afad_parser 
| where MessageType == 0 and TimeGenerated > ago(30d)

Hämta alla ändringar i spårflödet under de senaste 24 timmarna

afad_parser 
| where MessageType == 1 and TimeGenerated > ago(1d)

Hämta alla ändringar i trailflow under de senaste 7 dagarna

afad_parser 
| where MessageType == 1 and TimeGenerated > ago(7d)

Hämta antalet aviseringar som utlöses av varje IoA

afad_parser

| where MessageType == 2

| summarize AlertCount = count() by Codename

Hämta alla IoA-aviseringar för de senaste 30 dagarna

afad_parser 
| where MessageType == 2 and TimeGenerated > ago(30d)

Förutsättningar

Om du vill integrera med Tenable Identity Exposure kontrollerar du att du har:

  • Åtkomst till TenableIE-konfiguration: Behörigheter för att konfigurera syslog-aviseringsmotor

Installationsanvisningar för leverantör

Den här dataanslutningen är beroende av afad_parser baserat på en Kusto-funktion för att fungera som förväntat som distribueras med Microsoft Sentinel-lösningen.

  1. Konfigurera Syslog-servern

    Du behöver först en Linux Syslog-server som TenableIE skickar loggar till. Vanligtvis kan du köra rsyslogUbuntu. Du kan sedan konfigurera den här servern som du vill, men vi rekommenderar att du kan mata ut TenableIE-loggar i en separat fil.

    Konfigurera rsyslog för att acceptera loggar från din TenableIE IP-adress.:

    sudo -i

# Set TenableIE source IP address
export TENABLE_IE_IP={Enter your IP address}

# Create rsyslog configuration file
cat > /etc/rsyslog.d/80-tenable.conf << EOF
\$ModLoad imudp
\$UDPServerRun 514
\$ModLoad imtcp
\$InputTCPServerRun 514
\$AllowedSender TCP, 127.0.0.1, $TENABLE_IE_IP
\$AllowedSender UDP, 127.0.0.1, $TENABLE_IE_IP
\$template MsgTemplate,"%TIMESTAMP:::date-rfc3339% %HOSTNAME% %programname%[%procid%]:%msg%\n"
\$template remote-incoming-logs, "/var/log/%PROGRAMNAME%.log"
*.* ?remote-incoming-logs;MsgTemplate
EOF

# Restart rsyslog
systemctl restart rsyslog

  2. Installera och registrera Microsoft-agenten för Linux

    OMS-agenten tar emot TenableIE-sysloghändelserna och publicerar dem i Microsoft Sentinel.

  3. Kontrollera agentloggarna på Syslog-servern

    tail -f /var/opt/microsoft/omsagent/log/omsagent.log

  4. Konfigurera TenableIE för att skicka loggar till Syslog-servern

    På TenableIE-portalen går du till System, Konfiguration och sedan Syslog. Därifrån kan du skapa en ny Syslog-avisering mot Syslog-servern.

    När detta är klart kontrollerar du att loggarna är korrekt insamlade på servern i en separat fil (för att göra detta kan du använda knappen Testa konfigurationen i Syslog-aviseringskonfigurationen i TenableIE). Om du använde snabbstartsmallen lyssnar Syslog-servern som standard på port 514 i UDP och 1514 i TCP, utan TLS.

  5. Konfigurera anpassade loggar

Konfigurera agenten för att samla in loggarna.

  1. I Microsoft Sentinel går du till Konfiguration ->Inställningar ->Arbetsyteinställningar ->Anpassade loggar.

  2. Klicka på Lägg till anpassad logg.

  3. Ladda upp ett exempel TenableIE.log Syslog-fil från Linux-datorn som kör Syslog-servern och klicka på Nästa

  4. Ange postens avgränsare till Ny rad om det inte redan är fallet och klicka på Nästa.

  5. Välj Linux och ange filsökvägen till Syslog-filen, klicka sedan + Nästa. Standardplatsen för filen är /var/log/TenableIE.log om du har en Tiobar version <3.1.0, du måste också lägga till den här linux-filplatsen /var/log/AlsidForAD.log.

  6. Ange Namnet till Tenable_IE_CL (Azure lägger automatiskt till _CL i slutet av namnet, det får bara finnas en, kontrollera att namnet inte är Tenable_IE_CL_CL).

  7. Klicka på Nästa, du ser ett CV och klickar sedan på Skapa.

  8. Ha det så kul!

Nu bör du kunna ta emot loggar i tabellen Tenable_IE_CL , loggdata kan parsas med funktionen afad_parser(), som används av alla frågeexempel, arbetsböcker och analysmallar.

Nästa steg

Mer information finns i den relaterade lösningen på Azure Marketplace.