[已弃用]适用于 Microsoft Sentinel 的 Akamai Security Events via Legacy Agent connector 连接器
重要
现在,Microsoft Sentinel 中的“通过 AMA 的通用事件格式 (CEF)”、“通过 AMA 的 Syslog”或“通过 AMA 的自定义日志”数据连接器支持从许多设备收集日志。 如需详细信息,请参阅查找 Microsoft Sentinel 数据连接器。
Akamai Solution for Microsoft Sentinel 提供将 Akamai Security Events 引入 Microsoft Sentinel 的功能。 有关详细信息,请参阅 Akamai SIEM 集成文档。
连接器属性
| 连接器属性 | 说明 |
|---|---|
| Log Analytics 表 | CommonSecurityLog (AkamaiSecurityEvents) |
| 数据收集规则支持 | 工作区转换 DCR |
| 支持的服务 | Microsoft Corporation |
查询示例
排名前 10 的国家/地区
AkamaiSIEMEvent
| summarize count() by SrcGeoCountry
| top 10 by count_
供应商安装说明
注意
此数据连接器依赖于基于 Kusto 函数的分析程序才能按预期工作,该函数已部署为解决方案的一部分。 若要查看 Log Analytics 中的函数代码,请打开 Log Analytics/Microsoft Sentinel 的“日志”边栏选项卡,单击“函数”,搜索别名 Akamai Security Events 并加载函数代码,或者单击此处,在查询的第二行输入 Akamai 安全事件设备的主机名,以及日志流的任何其他唯一标识符。 安装/更新解决方案后,函数通常需要 10-15 分钟才能激活。
- Linux Syslog 代理配置
安装并配置 Linux 代理,以收集通用事件格式 (CEF) Syslog 消息,并将其转发到 Microsoft Sentinel。
请注意,来自所有区域的数据将存储在所选工作区中
1.1 选择或创建 Linux 计算机
选择或创建一个 Linux 计算机,Microsoft Sentinel 将使用该计算机作为安全解决方案和 Microsoft Sentinel 之间的代理。该计算机可以位于本地环境、Azure 或其他云中。
1.2 在 Linux 计算机上安装 CEF 收集器
在 Linux 计算机上安装 Microsoft Monitoring Agent,然后将计算机配置为侦听所需的端口并将消息转发到 Microsoft Sentinel 工作区。 该 CEF 收集器在端口 514 TCP 上收集 CEF 消息。
- 使用以下命令确保已在计算机上安装 Python:python -version。
- 你必须在计算机上拥有提升的权限 (sudo)。
运行以下命令安装并应用 CEF 收集器:
sudo wget -O cef_installer.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/CEF/cef_installer.py&&sudo python cef_installer.py {0} {1}
- 将通用事件格式 (CEF) 日志转发到 Syslog 代理
按照这些步骤配置 Akamai CEF 连接器,以将 CEF 格式的 Syslog 消息发送到代理计算机。 请确保将日志发送到计算机 IP 地址上的端口 514 TCP。
- 验证连接
按照说明验证连接性:
打开 Log Analytics,检查是否使用 CommonSecurityLog 架构收到了日志。
连接将数据流式传输到工作区可能大约需要 20 分钟。
如果未收到日志,请运行以下连接验证脚本:
- 使用以下命令确保已在计算机上安装 Python:python -version
- 必须在计算机上拥有提升的权限 (sudo)
运行以下命令以验证连接:
sudo wget -O cef_troubleshoot.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/CEF/cef_troubleshoot.py&&sudo python cef_troubleshoot.py {0}
- 保护计算机
确保根据组织的安全策略配置计算机的安全性
后续步骤
有关详细信息,请转到 Azure 市场中的相关解决方案。