Konektor Microsoft Sysmon pro Linux pro Microsoft Sentinel
Sysmon pro Linux poskytuje podrobné informace o vytváření procesů, síťových připojeních a dalších systémových událostech. [Sysmon pro linux link:]. Sysmon pro linuxový konektor používá syslog jako metodu příjmu dat. Toto řešení závisí na tom, aby ASIM fungovalo podle očekávání. Nasaďte ASIM , abyste získali úplnou hodnotu z řešení.
Jedná se o automaticky vygenerovaný obsah. Pokud potřebujete změny, obraťte se na poskytovatele řešení.
atributy Připojení oru
atribut Připojení or | Popis |
---|---|
Tabulky Log Analytics | Syslog (Sysmon) |
Podpora pravidel shromažďování dat | Transformace pracovního prostoru – DCR |
Podporováno | Microsoft Corporation |
Ukázky dotazů
Prvních 10 událostí podle ActingProcessName
vimProcessCreateLinuxSysmon
| summarize count() by ActingProcessName
| top 10 by count_
Pokyny k instalaci dodavatele
Tento datový konektor závisí na analyzátorech ASIM založených na funkcích Kusto tak, aby fungovaly podle očekávání. Nasazení analyzátorů
Nasadí se následující funkce:
vimFileEventLinuxSysmonFileCreated, vimFileEventLinuxSysmonFileDeleted
vimProcessCreateLinuxSysmon, vimProcessTerminateLinuxSysmon
vimNetworkSessionLinuxSysmon
- Instalace a onboarding agenta pro Linux
Obvykle byste měli agenta nainstalovat do jiného počítače, než na kterém se protokoly generují.
Protokoly syslogu se shromažďují jenom z agentů Linuxu .
- Konfigurace protokolů, které se mají shromažďovat
Nakonfigurujte zařízení, která chcete shromažďovat, a jejich závažnosti.
- V části Konfigurace upřesňujícího nastavení pracovního prostoru vyberte Data a potom Syslog.
- Na moje počítače vyberte Použít následující konfiguraci a vyberte zařízení a závažnosti.
- Klikněte na Uložit.
Další kroky
Další informace najdete v souvisejícím řešení na Azure Marketplace.