Konektor McAfee Network Security Platform pro Microsoft Sentinel
Datový konektor McAfee Network Security Platform poskytuje možnost ingestovat události platformy McAfee®® Network Security Platform do služby Microsoft Sentinel.
Jedná se o automaticky vygenerovaný obsah. Pokud potřebujete změny, obraťte se na poskytovatele řešení.
atributy Připojení oru
atribut Připojení or | Popis |
---|---|
Tabulky Log Analytics | Syslog (McAfeeNSPEvent) |
Podpora pravidel shromažďování dat | Transformace pracovního prostoru – DCR |
Podporováno | Microsoft Corporation |
Ukázky dotazů
Prvních 10 zdrojů
McAfeeNSPEvent
| summarize count() by tostring(DvcHostname)
| top 10 by count_
Pokyny k instalaci dodavatele
Poznámka:
Tento datový konektor závisí na analyzátoru založeném na funkci Kusto, která funguje podle očekávání McAfeeNSPEvent , která je nasazená s řešením Microsoft Sentinel.
Poznámka:
Tento datový konektor byl vyvinut pomocí platformy McAfee® Network Security Platform verze: 10.1.x
Instalace a onboarding agenta pro Linux nebo Windows
Nainstalujte agenta na server, kde se předávají protokoly McAfee® Network Security Platform.
Protokoly ze serveru McAfee® Network Security Platform nasazeného na serverech s Linuxem nebo Windows shromažďují agenti Systému Linux nebo Windows .
Konfigurace předávání událostí McAfee® Network Security Platform
Pomocí následujících kroků konfigurace získáte protokoly McAfee® Network Security Platform do služby Microsoft Sentinel.
Pokud chcete při vytváření profilu zajistit správné formátování událostí, zadejte do textového pole Zpráva následující text:
<SyslogAlertForwarderNSP>:|SENSOR_ALERT_UUID|ALERT_TYPE|ATTACK_TIME|ATTACK_NAME|ATTACK_ID |ATTACK_SEVERITY|ATTACK_SIGNATURE|ATTACK_CONFIDENCE|ADMIN_DOMAIN|SENSOR_NAME|INTERFACE |SOURCE_IP|SOURCE_PORT|DESTINATION_IP|DESTINATION_PORT|CATEGORY|SUB_CATEGORY |DIRECTION|RESULT_STATUS|DETECTION_MECHANISM|APPLICATION_PROTOCOL|NETWORK_PROTOCOL|
Další kroky
Další informace najdete v souvisejícím řešení na Azure Marketplace.