适用于 Microsoft Sentinel 的 Corelight 连接器导出程序连接器
借助 Corelight 数据连接器,使用 Microsoft Sentinel 的事件响应者和威胁搜寻者可以提高工作速度和效率。 使用该数据连接器可以通过 Corelight 传感器将事件从 Zeek 和 Suricata 引入 Microsoft Sentinel。
这是自动生成的内容。 有关更改,请联系解决方案提供商。
连接器属性
| 连接器属性 | 说明 |
|---|---|
| Log Analytics 表 | corelight_bacnet corelight_capture_loss corelight_cip corelight_conn_long corelight_conn_red corelight_conn corelight_corelight_burst corelight_corelight_overall_capture_loss corelight_corelight_profiling corelight_datared corelight_dce_rpc corelight_dga corelight_dhcp corelight_dnp3 corelight_dns_red corelight_dns corelight_dpd corelight_encrypted_dns corelight_enip_debug corelight_enip_list_identity corelight_enip corelight_etc_viz corelight_files_red corelight_files corelight_ftp corelight_generic_dns_tunnels corelight_generic_icmp_tunnels corelight_http2 corelight_http_red corelight_http corelight_icmp_specific_tunnels corelight_intel corelight_ipsec corelight_irc corelight_iso_cotp corelight_kerberos corelight_known_certs corelight_known_devices corelight_known_domains corelight_known_hosts corelight_known_names corelight_known_remotes corelight_known_services corelight_known_users corelight_local_subnets_dj corelight_local_subnets_graphs corelight_local_subnets corelight_log4shell corelight_modbus corelight_mqtt_connect corelight_mqtt_publish corelight_mqtt_subscribe corelight_mysql corelight_notice corelight_ntlm corelight_ntp corelight_ocsp corelight_openflow corelight_packet_filter corelight_pe corelight_profinet_dce_rpc corelight_profinet_debug corelight_profinet corelight_radius corelight_rdp corelight_reporter corelight_rfb corelight_s7comm corelight_signatures corelight_sip corelight_smartpcap_stats corelight_smartpcap corelight_smb_files corelight_smb_mapping corelight_smtp_links corelight_smtp corelight_snmp corelight_socks corelight_software corelight_specific_dns_tunnels corelight_ssh corelight_ssl_red corelight_ssl corelight_stats corelight_stepping corelight_stun_nat corelight_stun corelight_suricata_corelight corelight_suricata_eve corelight_suricata_stats corelight_suricata_zeek_stats corelight_syslog corelight_tds_rpc corelight_tds_sql_batch corelight_tds corelight_traceroute corelight_tunnel Corelight corelight_unknown_smartpcap corelight_util_stats corelight_vpn corelight_weird_red corelight_weird_stats corelight_weird corelight_wireguard corelight_x509_red corelight_x509 corelight_zeek_doctor |
| 数据收集规则支持 | 工作区转换 DCR |
| 支持的服务 | Corelight |
查询示例
前 10 个客户端(源 IP)
Corelight
| summarize count() by id_orig_h
| top 10 by count_
供应商安装说明
注意
此数据连接器依赖于一个基于 Kusto 函数的分析程序,作为与 Microsoft Sentinel 解决方案一起部署的预期 Corelight 工作。
- 获取文件
请联系 TAM、SE 或 info@corelight.com,获取 Microsoft Sentinel 集成所需的文件。
- 重播示例数据。
重播示例数据,以在 Log Analytics 工作区中创建所需的表。
发送示例数据(每个 Log Analytics 工作区只需要一次)
./send_samples.py --workspace-id {0} --workspace-key {1}
- 安装自定义导出程序。
安装自定义导出程序或 logstash 容器。
- 配置 Corelight 传感器以将日志发送到 Azure Log Analytics 代理。
使用以下值,将 Corelight 传感器配置为使用 Microsoft Sentinel 导出程序。 或者,可以使用这些值配置 logstash 容器,并将传感器配置为通过 TCP 将 JSON 发送到相应端口上的该容器。
主工作区密钥