你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
适用于 Microsoft Sentinel 的 Awake Security 连接器
Awake Security CEF 连接器允许用户将检测模型匹配项从 Awake Security 平台发送到 Microsoft Sentinel。 利用强大的网络检测和响应功能快速修正威胁,并加快调查速度,深入了解非托管实体,包括网络上的用户、设备和应用程序。 该连接器还支持创建以网络安全为中心的自定义警报、事件、工作簿和笔记本,以符合现有的安全操作工作流。
这是自动生成的内容。 有关更改,请联系解决方案提供商。
连接器属性
连接器属性 | 说明 |
---|---|
Log Analytics 表 | CommonSecurityLog (AwakeSecurity) |
数据收集规则支持 | 工作区转换 DCR |
支持的服务 | Arista - Awake Security |
查询示例
按严重性排序的前 5 个对抗模型匹配项
union CommonSecurityLog
| where DeviceVendor == "Arista Networks" and DeviceProduct == "Awake Security"
| summarize TotalActivities=sum(EventCount) by Activity,LogSeverity
| top 5 by LogSeverity desc
按设备风险评分排名的前 5 个设备
CommonSecurityLog
| where DeviceVendor == "Arista Networks" and DeviceProduct == "Awake Security"
| extend DeviceCustomNumber1 = coalesce(column_ifexists("FieldDeviceCustomNumber1", long(null)), DeviceCustomNumber1, long(null))
| summarize MaxDeviceRiskScore=max(DeviceCustomNumber1),TimesAlerted=count() by SourceHostName=coalesce(SourceHostName,"Unknown")
| top 5 by MaxDeviceRiskScore desc
供应商安装说明
- Linux Syslog 代理配置
安装并配置 Linux 代理,以收集通用事件格式 (CEF) Syslog 消息,并将其转发到 Microsoft Sentinel。
请注意,来自所有区域的数据将存储在所选工作区中
1.1 选择或创建 Linux 计算机
选择或创建一个 Linux 计算机,Microsoft Sentinel 将使用该计算机作为安全解决方案和 Microsoft Sentinel 之间的代理。该计算机可以位于本地环境、Azure 或其他云中。
1.2 在 Linux 计算机上安装 CEF 收集器
在 Linux 计算机上安装 Microsoft Monitoring Agent,然后将计算机配置为侦听所需的端口并将消息转发到 Microsoft Sentinel 工作区。 该 CEF 收集器在端口 514 TCP 上收集 CEF 消息。
- 使用以下命令确保已在计算机上安装 Python:python -version。
- 你必须在计算机上拥有提升的权限 (sudo)。
运行以下命令安装并应用 CEF 收集器:
sudo wget -O cef_installer.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/CEF/cef_installer.py&&sudo python cef_installer.py {0} {1}
- 将 Awake 对抗模型匹配结果转发到 CEF 收集器。
执行以下步骤,将 Awake 对抗模型匹配结果转发到在 IP 192.168.0.1 的 TCP 端口 514 上侦听的 CEF 收集器:
- 导航到 Awake UI 中的“检测管理技能”页。
- 单击“+ 添加新技能”。
- 将“表达式”字段设置为,
integrations.cef.tcp { destination: "192.168.0.1", port: 514, secure: false, severity: Warning }
- 将“标题”字段设置为描述性名称,例如,
将 Awake 对抗模型匹配结果转发到 Microsoft Sentinel。
- 将引用标识符设置为易于发现的内容,例如,
integrations.cef.sentinel-forwarder
- 单击“保存”。
注意:在保存定义和其他字段后的几分钟内,系统将在检测到新模型匹配结果时开始将其发送到 CEF 事件收集器。
有关详细信息,请参阅 Awake UI 中帮助文档中的“添加安全信息和事件管理推送集成”页。
- 验证连接
按照说明验证连接性:
打开 Log Analytics,检查是否使用 CommonSecurityLog 架构收到了日志。
连接将数据流式传输到工作区可能大约需要 20 分钟。
如果未收到日志,请运行以下连接验证脚本:
- 使用以下命令确保已在计算机上安装 Python:python -version
- 必须在计算机上拥有提升的权限 (sudo)
运行以下命令以验证连接:
sudo wget -O cef_troubleshoot.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/CEF/cef_troubleshoot.py&&sudo python cef_troubleshoot.py {0}
- 保护计算机
确保根据组织的安全策略配置计算机的安全性
后续步骤
有关详细信息,请转到 Azure 市场中的相关解决方案。