Silverfort Admin Console connector for Microsoft Sentinel
Silverfort ITDR 管理控制台連接器解決方案可讓您擷取 Silverfort 事件並登入 Microsoft Sentinel。 Silverfort 使用通用事件格式 (CEF) 提供以 syslog 為基礎的事件和記錄。 藉由將 Silverfort ITDR 管理控制台 CEF 數據轉送至 Microsoft Sentinel,您就可以利用 Sentinels 的搜尋與相互關聯、警示和 Silverfort 數據的威脅情報擴充。 如需詳細資訊,請連絡 Silverfort 或參閱 Silverfort 檔。
這是自動產生的內容。 如需變更,請連絡解決方案提供者。
連接器屬性
| 連接器屬性 | 描述 |
|---|---|
| 記錄分析資料表 | CommonSecurityLog (DATATYPE_NAME) |
| 資料收集規則支援 | 工作區轉換 DCR |
| 支援者: | Silverfort |
查詢範例
取得所有使用者暴力密碼破解事件
CommonSecurityLog
| where DeviceVendor has 'Silverfort'
| where DeviceProduct has 'Admin Console'
| where DeviceEventClassID == "NewIncident"
| where Message has "UserBruteForce"
廠商安裝指示
- Linux Syslog 代理程式設定
安裝並設定 Linux 代理程式,以收集常見事件格式 (CEF) 的 Syslog 訊息,然後將這些訊息轉送至 Microsoft Sentinel。
請注意,所有區域的資料皆會儲存在選取的工作區中
1.1 選取或建立 Linux 電腦
選取或建立 Linux 機器,Microsoft Sentinel 將使用此機器作為安全性解決方案與 Microsoft Sentinel 之間的 Proxy。此機器可以在內部部署環境、Azure 或其他雲端中。
1.2 在 Linux 電腦上安裝 CEF 收集器
在 Linux 機器上安裝 Microsoft Monitoring Agent,並將該機器設定為在必要的連接埠上接聽訊息,然後將這些訊息轉送至 Microsoft Sentinel 工作區。 CEF 收集器會在連接埠 514 TCP 上收集 CEF 訊息。
- 請使用下列命令 python -version,確定機器上有 Python。
- 您在機器上必須具有更高的權限 (sudo)。
請執行下列命令安裝及套用 CEF 收集器:
sudo wget -O cef_installer.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/CEF/cef_installer.py&&sudo python cef_installer.py {0} {1}
- 將常見事件格式 (CEF) 記錄轉送到 Syslog 代理程式
設定您的安全性解決方案,以 CEF 格式將 Syslog 訊息傳送至 Proxy 機器。 請務必將記錄傳送至機器 IP 位址上的連接埠 514 TCP。
- 驗證連線
請遵循指示以驗證連線能力:
開啟 Log Analytics,檢查是否使用 CommonSecurityLog 結構描述接收記錄。
連線將資料串流至工作區可能需要大約 20 分鐘的時間。
如果未收到記錄,請執行下列連線能力驗證指令碼:
- 請使用下列命令 python -version,確定您的機器上有 Python
- 您的機器上必須具有更高的權限 (sudo)
請執行下列命令驗證連線能力:
sudo wget -O cef_troubleshoot.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/CEF/cef_troubleshoot.py&&sudo python cef_troubleshoot.py {0}
- 保護您的機器
請務必根據組織的安全性原則設定機器的安全性
下一步
如需詳細資訊,請移至 Azure Marketplace 中的相關解決方案 (英文)。