Microsoft Sentinel 的 Corelight 连接器
借助 Corelight 数据连接器,使用 Microsoft Sentinel 的事件响应者和威胁搜寻者可以提高工作速度和效率。 使用该数据连接器可以通过 Corelight 传感器将事件从 Zeek 和 Suricata 引入 Microsoft Sentinel。
连接器属性
连接器属性 | 说明 |
---|---|
Log Analytics 表 | Corelight_CL |
数据收集规则支持 | 目前不支持 |
支持的服务 | Corelight |
查询示例
前 10 个客户端(源 IP)
Corelight
| summarize count() by SrcIpAddr
| top 10 by count_
供应商安装说明
注意
此数据连接器依赖于一个基于 Kusto 函数的分析程序,作为与 Microsoft Sentinel 解决方案一起部署的预期 Corelight 工作。
- 安装并加入适用于 Linux 或 Windows 的代理
在生成 Corelight 日志的服务器上安装代理。
Linux 或 Windows 代理收集 Linux 或 Windows 服务器上部署的 Corelight Server 中的日志。
- 配置要收集的日志
按照以下配置步骤将 Corelight 日志引入 Microsoft Sentinel。 此配置扩充了 Corelight 模块生成的事件,为 Corelight 日志提供日志源信息的可见性。 有关这些步骤的更多详细信息,请参阅 Azure Monitor 文档。
- 登录到安装了 Azure Log Analytics 代理的服务器。
- 将 corelight.conf 复制到 /etc/opt/microsoft/omsagent/workspace_id/conf/omsagent.d/ 文件夹中。
- 如下所示编辑 corelight.conf:
i. 如果需要,请配置要将数据发送到的备用端口(第 3 行)
ii. 将 workspace_id 替换为工作区 ID(行 22、23、24、27)的实际值 4。保存更改,并使用以下命令重启 Linux 服务的 Azure Log Analytics 代理:sudo /opt/microsoft/omsagent/bin/service_control restart
- 配置 Corelight 传感器以将日志发送到 Azure Log Analytics 代理
有关如何配置 Corelight 传感器以通过 TCP 导出 JSON 的详细信息,请参阅 Corelight 文档。 使用在上一步骤中配置的端口(默认为端口 21234),将 JSON TCP 服务器配置为 Azure Log Analytics 代理的 IP 地址