ESET PROTECT-Connector für Microsoft Sentinel
Dieser Connector erfasst alle von der ESET-Software generierten Ereignisse über die zentrale Verwaltungslösung ESET PROTECT (ehemals ESET Security Management Center). Dazu gehören Virenerkennungen, Firewallerkennungen, aber auch erweiterte EDR-Erkennungen. Eine vollständige Liste der Ereignisse finden Sie in der Dokumentation.
Dieser Inhalt wurde automatisch generiert. Wenden Sie sich im Zusammenhang mit Änderungen an den Lösungsanbieter.
Connectorattribute
| Connectorattribut | BESCHREIBUNG |
|---|---|
| Log Analytics-Tabellen | Syslog (ESETPROTECT) |
| Unterstützung für Datensammlungsregeln | Transformations-DCR des Arbeitsbereichs |
| Unterstützt von | ESET Niederlande |
Abfragebeispiele
ESET-Bedrohungsereignisse
ESETPROTECT
| where EventType == 'Threat_Event'
| sort by TimeGenerated desc
Top 10: erkannte Bedrohungen
ESETPROTECT
| where EventType == 'Threat_Event'
| summarize ThreatCount = count() by tostring(ThreatName)
| top 10 by ThreatCount
ESET-Firewallereignisse
ESETPROTECT
| where EventType == 'FirewallAggregated_Event'
| sort by TimeGenerated desc
ESET-Bedrohungsereignisse
ESETPROTECT
| where EventType == 'Threat_Event'
| sort by TimeGenerated desc
ESET-Bedrohungsereignisse aus Dateisystem-Echtzeitschutz
ESETPROTECT
| where EventType == 'Threat_Event'
| where ScanId == 'Real-time file system protection'
| sort by TimeGenerated desc
ESET-Bedrohungsereignisse aus bedarfsgesteuertem Scanner
ESETPROTECT
| where EventType == 'Threat_Event'
| where ScanId == 'On-demand scanner'
| sort by TimeGenerated desc
Top-Hosts nach Anzahl von Bedrohungsereignissen
ESETPROTECT
| where EventType == 'Threat_Event'
| summarize threat_events_count = count() by HostName
| sort by threat_events_count desc
ESET-Websitefilter
ESETPROTECT
| where EventType == 'FilteredWebsites_Event'
| sort by TimeGenerated desc
ESET-Überwachungsereignisse
ESETPROTECT
| where EventType == 'Audit_Event'
| sort by TimeGenerated desc
Installationsanweisungen des Anbieters
HINWEIS: Damit dieser Datenconnector wie erwartet funktioniert, ist er von einem Parser abhängig, der auf einer Kusto-Funktion basiert, die als Teil der Lösung bereitgestellt wird. Um den Funktionscode in Log Analytics anzuzeigen, öffnen Sie das Blatt Log Analytics-/Microsoft Sentinel-Protokolle, klicken Sie auf „Funktionen“, suchen Sie nach dem Alias „ESETPROTECT“ und laden Sie den Funktionscode oder klicken Sie hier. Die Aktivierung der Funktion dauert normalerweise 10 bis 15 Minuten nach der Installation/Aktualisierung der Lösung.
- Installieren und Onboarding des Agents für Linux
In der Regel sollten Sie den Agent auf einem anderen Computer als dem installieren, auf dem die Protokolle generiert werden.
Syslog-Protokolle werden nur von Linux-Agents gesammelt.
- Konfigurieren der zu erfassenden Protokolle
Konfigurieren Sie die zu erfassenden Einrichtungen und die zugehörigen Schweregrade.
Wählen Sie unter Konfiguration in den erweiterten Einstellungen des Arbeitsbereichs die Option Daten und dann Syslog aus.
Wählen Sie auf Nachstehende Konfiguration auf meine Computer anwenden aus, und wählen Sie die Einrichtungen und Schweregrade aus. Die standardmäßige ESET PROTECT-Einrichtung ist Benutzer.
Klicken Sie auf Speichern.
ESET PROTECT konfigurieren
Konfigurieren Sie ESET PROTECT so, dass alle Ereignisse über Syslog gesendet werden.
Befolgen Sie diese Anweisungen, um die Syslog-Ausgabe zu konfigurieren. Achten Sie darauf, BSD als Format und TCP als Transport auszuwählen.
Befolgen Sie diese Anweisungen, um alle Protokolle in Syslog zu exportieren. Wählen Sie JSON als Ausgabeformat aus.
Hinweis: Informationen zum Einrichten der Protokollweiterleitung für lokalen und Cloudspeicher finden Sie in der Dokumentation .
Nächste Schritte
Weitere Informationen finden Sie in der entsprechenden Lösung im Azure Marketplace.