موصل Symantec ProxySG ل Microsoft Sentinel

  • مقالة

تسمح لك Symantec ProxySG بتوصيل سجلات Symantec ProxySG بسهولة مع Microsoft Sentinel، وعرض لوحات المعلومات، وإنشاء تنبيهات مخصصة، وتحسين التحقيقات. يوفر دمج Symantec ProxySG مع Microsoft Sentinel مزيدا من الرؤية في حركة مرور وكيل الشبكة لمؤسستك وسيعزز قدرات مراقبة الأمان.

هذا محتوى تم إنشاؤه تلقائيا. للحصول على تغييرات، اتصل بموفر الحل.

سمات الاتصال أو

سمة الموصل ‏‏الوصف
جدول (جداول) Log Analytics Syslog (SymantecProxySG)
دعم قواعد جمع البيانات تحويل DCR لمساحة العمل
مدعومة من قبل Microsoft Corporation

عينات الاستعلام

أفضل 10 مستخدمين مرفوضين

SymantecProxySG 

| where sc_filter_result == 'DENIED' 

| summarize count() by cs_userdn 

| top 10 by count_

أفضل 10 عناوين IP للعميل مرفوضة

SymantecProxySG 

| where sc_filter_result == 'DENIED' 

| summarize count() by c_ip 

| top 10 by count_

المتطلبات الأساسية

للتكامل مع Symantec ProxySG تأكد من أن لديك:

  • Symantec ProxySG: يجب تكوينه لتصدير السجلات عبر Syslog

إرشادات تثبيت المورد

إشعار

يعتمد موصل البيانات هذا على محلل يستند إلى وظيفة Kusto للعمل كما هو متوقع والذي يتم نشره كجزء من الحل. لعرض التعليمات البرمجية للوظيفة في Log Analytics، افتح شفرة Log Analytics/Microsoft Sentinel Logs، وانقر فوق Functions وابحث عن الاسم المستعار SG لوكيل Symantec وقم بتحميل التعليمات البرمجية للدالة أو انقر هنا، في السطر الثاني من الاستعلام، أدخل اسم المضيف (أسماء) جهاز (أجهزة) SG ل Symantec Proxy وأي معرفات فريدة أخرى ل logstream. تستغرق الدالة عادة من 10 إلى 15 دقيقة للتنشيط بعد تثبيت/تحديث الحل.

  1. تثبيت وإلحاق العامل لنظام Linux

عادة، يجب تثبيت العامل على كمبيوتر مختلف عن الكمبيوتر الذي يتم إنشاء السجلات عليه.

يتم جمع سجلات Syslog فقط من وكلاء Linux .

  1. تكوين السجلات ليتم جمعها

تكوين المرافق التي تريد جمعها وشدتها.

  1. ضمن workspace advanced settings Configuration، حدد Data ثم Syslog.

  2. حدد تطبيق التكوين أدناه على أجهزتي وحدد المرافق والخطورة.

  3. انقر فوق حفظ.

  4. تكوين وتوصيل Symantec ProxySG

  5. سجل الدخول إلى وحدة تحكم Blue Coat Management.

  6. حدد Configuration > Access Logging > Formats.

  7. حدد جديد.

  8. أدخل اسما فريدا في حقل تنسيق الاسم.

  9. انقر فوق الزر التبادلي لسلسلة التنسيق المخصص والصق السلسلة التالية في الحقل.

1 $(date) $(time) $(time-taken) $(c-ip) $(cs-userdn) $(cs-auth-groups) $(x-exception-id) $(sc-filter-result) $(cs-categories) $(quot)$(cs(Referer))$(quot) $(sc-status) $(s-action) $(cs-method) $(quot)$(rs(Content-Type))$(quot) $(cs-uri-scheme) $(cs-host) $(cs-uri-port) $(cs-uri-path) $(cs-uri-query) $(cs-uri-extension) $(quot)$(cs(User-Agent))$(quot) $(s-ip) $(sr-bytes) $(rs-bytes) $(x-virus-id) $(x-bluecoat-application-name) $(x-bluecoat-application-operation) $(cs-uri-port) $(x-cs-client-ip-country) $(cs-threat-risk)

6. انقر فوق الزر **OK**. 7. انقر فوق الزر **Apply**. 8. [اتبع هذه الإرشادات](https://knowledge.broadcom.com/external/article/166529/sending-access-logs-to-a-syslog-server.html) لتمكين دفق سجل النظام لسجلات **Access**. استخدم عنوان IP أو اسم المضيف لجهاز Linux مع تثبيت عامل Linux كعنوان IP الوجهة

الخطوات التالية

لمزيد من المعلومات، انتقل إلى الحل ذي الصلة في Azure Marketplace.