Teilen über


[Veraltet] ESET PROTECT Connector für Microsoft Sentinel

Wichtig

Die Protokollsammlung aus vielen Appliances und Geräten wird jetzt vom Common Event Format (CEF) über AMA, Syslog über AMA oder benutzerdefinierte Protokolle über den AMA-Datenconnector in Microsoft Sentinel unterstützt. Weitere Informationen finden Sie unter Suchen Ihres Microsoft Sentinel-Datenconnectors.

Dieser Connector erfasst alle von der ESET-Software generierten Ereignisse über die zentrale Verwaltungslösung ESET PROTECT (ehemals ESET Security Management Center). Dazu gehören Virenerkennungen, Firewallerkennungen, aber auch erweiterte EDR-Erkennungen. Eine vollständige Liste der Ereignisse finden Sie in der Dokumentation.

Dieser Inhalt wurde automatisch generiert. Wenden Sie sich im Zusammenhang mit Änderungen an den Lösungsanbieter.

Connectorattribute

Connectorattribut BESCHREIBUNG
Log Analytics-Tabellen Syslog (ESETPROTECT)
Unterstützung für Datensammlungsregeln Transformations-DCR des Arbeitsbereichs
Unterstützt von ESET Niederlande

Abfragebeispiele

ESET-Bedrohungsereignisse

ESETPROTECT

| where EventType == 'Threat_Event'

| sort by TimeGenerated desc

Top 10: erkannte Bedrohungen

ESETPROTECT

| where EventType == 'Threat_Event'

| summarize ThreatCount = count() by tostring(ThreatName)

| top 10 by ThreatCount

ESET-Firewallereignisse

ESETPROTECT

| where EventType == 'FirewallAggregated_Event'

| sort by TimeGenerated desc

ESET-Bedrohungsereignisse

ESETPROTECT

| where EventType == 'Threat_Event'

| sort by TimeGenerated desc

ESET-Bedrohungsereignisse aus Dateisystem-Echtzeitschutz

ESETPROTECT

| where EventType == 'Threat_Event'

| where ScanId == 'Real-time file system protection'

| sort by TimeGenerated desc

ESET-Bedrohungsereignisse aus bedarfsgesteuertem Scanner

ESETPROTECT

| where EventType == 'Threat_Event'

| where ScanId == 'On-demand scanner'

| sort by TimeGenerated desc

Top-Hosts nach Anzahl von Bedrohungsereignissen

ESETPROTECT

| where EventType == 'Threat_Event'

| summarize threat_events_count = count() by HostName

| sort by threat_events_count desc

ESET-Websitefilter

ESETPROTECT

| where EventType == 'FilteredWebsites_Event'

| sort by TimeGenerated desc

ESET-Überwachungsereignisse

ESETPROTECT

| where EventType == 'Audit_Event'

| sort by TimeGenerated desc

Installationsanweisungen des Anbieters

HINWEIS: Damit dieser Datenconnector wie erwartet funktioniert, ist er von einem Parser abhängig, der auf einer Kusto-Funktion basiert, die als Teil der Lösung bereitgestellt wird. Um den Funktionscode in Log Analytics anzuzeigen, öffnen Sie das Blatt Log Analytics-/Microsoft Sentinel-Protokolle, klicken Sie auf „Funktionen“, suchen Sie nach dem Alias „ESETPROTECT“ und laden Sie den Funktionscode oder klicken Sie hier. Die Aktivierung der Funktion dauert normalerweise 10 bis 15 Minuten nach der Installation/Aktualisierung der Lösung.

  1. Installieren und Onboarding des Agents für Linux

In der Regel sollten Sie den Agent auf einem anderen Computer als dem installieren, auf dem die Protokolle generiert werden.

Syslog-Protokolle werden nur von Linux-Agents gesammelt.

  1. Konfigurieren der zu erfassenden Protokolle

Konfigurieren Sie die zu erfassenden Einrichtungen und die zugehörigen Schweregrade.

  1. Wählen Sie unter Konfiguration in den erweiterten Einstellungen des Arbeitsbereichs die Option Daten und dann Syslog aus.

  2. Wählen Sie auf Nachstehende Konfiguration auf meine Computer anwenden aus, und wählen Sie die Einrichtungen und Schweregrade aus. Die standardmäßige ESET PROTECT-Einrichtung ist Benutzer.

  3. Klicken Sie auf Speichern.

  4. ESET PROTECT konfigurieren

Konfigurieren Sie ESET PROTECT so, dass alle Ereignisse über Syslog gesendet werden.

  1. Befolgen Sie diese Anweisungen, um die Syslog-Ausgabe zu konfigurieren. Achten Sie darauf, BSD als Format und TCP als Transport auszuwählen.

  2. Befolgen Sie diese Anweisungen, um alle Protokolle in Syslog zu exportieren. Wählen Sie JSON als Ausgabeformat aus.

Hinweis: Informationen zum Einrichten der Protokollweiterleitung für lokalen und Cloudspeicher finden Sie in der Dokumentation .

Nächste Schritte

Weitere Informationen finden Sie in der entsprechenden Lösung im Azure Marketplace.