适用于 Microsoft Sentinel 的 ExtraHop Reveal(x) 连接器

  • 项目

通过 ExtraHop Reveal(x) 数据连接器,可以将 Reveal(x) 系统轻松地与 Microsoft Sentinel 连接,以查看仪表板、创建自定义警报和改进调查。 这种集成使你能够深入了解组织网络并改进安全操作功能。

连接器属性

连接器属性 说明
Log Analytics 表 CommonSecurityLog ('ExtraHop')
数据收集规则支持 工作区转换 DCR
支持的服务 ExtraHop

查询示例

所有日志


CommonSecurityLog

| where DeviceVendor == "ExtraHop"

         
| sort by TimeGenerated

所有检测,删除重复项


CommonSecurityLog

| where DeviceVendor == "ExtraHop"

         
| extend categories = iif(DeviceCustomString2 != "", split(DeviceCustomString2, ","),dynamic(null))
             
| extend StartTime = extract("start=([0-9-]+T[0-9:.]+Z)", 1, AdditionalExtensions,typeof(datetime))
             
| extend EndTime = extract("end=([0-9-]+T[0-9:.]+Z)", 1, AdditionalExtensions,typeof(datetime))
             
| project      
             DeviceEventClassID="ExtraHop Detection",
             Title=Activity,
             Description=Message,
             riskScore=DeviceCustomNumber2,     
             SourceIP,
             DestinationIP,
             detectionID=tostring(DeviceCustomNumber1),
             updateTime=todatetime(ReceiptTime),
             StartTime,
             EndTime,
             detectionURI=DeviceCustomString1,
             categories,
             Computer
             
| summarize arg_max(updateTime, *) by detectionID
             
| sort by detectionID desc

先决条件

若要与 ExtraHop Reveal(x) 集成,请确保你有以下项:

  • ExtraHop:装有固件 7.8 或更高版本的 ExtraHop Discover 或 Command 设备,其用户帐户有无限制(管理员)权限。

供应商安装说明

  1. Linux Syslog 代理配置

安装并配置 Linux 代理,以收集通用事件格式 (CEF) Syslog 消息,并将其转发到 Microsoft Sentinel。

请注意,来自所有区域的数据将存储在所选工作区中

1.1 选择或创建 Linux 计算机

选择或创建 Linux 计算机,Microsoft Sentinel 将使用该计算机作为安全解决方案和 Microsoft Sentinel 之间的代理。该计算机可以位于本地环境、Azure 或其他云中。

1.2 在 Linux 计算机上安装 CEF 收集器

在 Linux 计算机上安装 Microsoft Monitoring Agent,然后将计算机配置为侦听所需的端口并将消息转发到 Microsoft Sentinel 工作区。 该 CEF 收集器在端口 514 TCP 上收集 CEF 消息。

  1. 使用以下命令确保计算机上安装了 Python:python --version。
  1. 你必须在计算机上拥有提升的权限 (sudo)。

运行以下命令安装并应用 CEF 收集器:

sudo wget -O cef_installer.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/CEF/cef_installer.py&&sudo python cef_installer.py {0} {1}

  1. 将 ExtraHop 网络日志转发到 Syslog 代理

  2. 设置安全解决方案以将 CEF 格式的 Syslog 消息发送到代理计算机。 确保将日志发送到计算机 IP 地址上的端口 514 TCP。

  3. 按照说明在 Reveal(x) 系统上安装 ExtraHop Detection SIEM Connector 捆绑包。 此集成需要 SIEM 连接器。

  4. 为 ExtraHop Detection SIEM Connector - CEF 启用触发器

  5. 使用创建的 ODS syslog 目标更新触发器

  6. Reveal(x) 系统将 syslog 消息格式化为通用事件格式 (CEF),然后将数据发送到 Microsoft Sentinel。

  7. 验证连接

按照说明验证连接性:

打开 Log Analytics,检查是否使用 CommonSecurityLog 架构收到了日志。

连接将数据流式传输到工作区可能大约需要 20 分钟。

如果未收到日志,请运行以下连接验证脚本:

  1. 使用以下命令确保计算机上安装了 Python:python --version
  1. 必须在计算机上拥有提升的权限 (sudo)

运行以下命令以验证连接:

sudo wget -O cef_troubleshoot.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/CEF/cef_troubleshoot.py&&sudo python cef_troubleshoot.py {0}

  1. 保护计算机

确保根据组织的安全策略配置计算机的安全性

了解详细信息>