[Veraltet] McAfee Network Security Platform Connector für Microsoft Sentinel
Wichtig
Die Protokollsammlung aus vielen Appliances und Geräten wird jetzt vom Common Event Format (CEF) über AMA, Syslog über AMA oder benutzerdefinierte Protokolle über den AMA-Datenconnector in Microsoft Sentinel unterstützt. Weitere Informationen finden Sie unter Suchen Ihres Microsoft Sentinel-Datenconnectors.
Mit dem Datenconnector McAfee® Network Security Platform können McAfee® Network Security Platform-Ereignisse in Microsoft Sentinel erfasst werden. Weitere Informationen finden Sie unter McAfee® Network Security Platform.
Dieser Inhalt wurde automatisch generiert. Wenden Sie sich im Zusammenhang mit Änderungen an den Lösungsanbieter.
Connectorattribute
| Connectorattribut | BESCHREIBUNG |
|---|---|
| Log Analytics-Tabellen | Syslog (McAfeeNSPEvent) |
| Unterstützung für Datensammlungsregeln | Transformations-DCR des Arbeitsbereichs |
| Unterstützt von | Microsoft Corporation |
Abfragebeispiele
Top 10-Quellen
McAfeeNSPEvent
| summarize count() by tostring(DvcHostname)
| top 10 by count_
Installationsanweisungen des Anbieters
Hinweis
Dieser Datenconnector benötigt einen Parser auf der Basis einer Kusto-Funktion, um erwartungsgemäß zu funktionieren: McAfeeNSPEvent. (Wird zusammen mit der Microsoft Sentinel-Lösung bereitgestellt.)
Hinweis
Dieser Datenconnector wurde mit der Version 10.1.x von McAfee® Network Security Platform entwickelt.
- Installieren und Integrieren des Agent für Linux oder Windows
Installieren Sie den Agent auf dem Server, auf dem die McAfee® Network Security Platform-Protokolle weitergeleitet werden.
Protokolle von McAfee® Network Security Platform Server auf Linux- oder Windows-Servern werden von Linux- oder Windows-Agents gesammelt.
- Konfigurieren der Weiterleitung von McAfee® Network Security Platform-Ereignissen
Führen Sie die folgenden Konfigurationsschritte aus, um McAfee® Network Security Platform-Protokolle in Microsoft Sentinel zu übertragen.
- Gehen Sie wie hier beschrieben vor, um Warnungen vom Manager an einen Syslog-Server weiterzuleiten.
- Fügen Sie ein Syslog-Benachrichtigungsprofil hinzu. Ausführlichere Informationen finden Sie hier. Diese ist obligatorisch. Geben Sie bei der Profilerstellung den folgenden Text in das Textfeld für die Nachricht ein, um sicherzustellen, dass Ereignisse ordnungsgemäß formatiert sind: :|SENSOR_ALERT_UUID| ALERT_TYPE| ATTACK_TIME| ATTACK_NAME| ATTACK_ID | ATTACK_SEVERITY| ATTACK_SIGNATURE| ATTACK_CONFIDENCE| ADMIN_DOMAIN| SENSOR_NAME| SCHNITTSTELLE | SOURCE_IP| SOURCE_PORT| DESTINATION_IP| DESTINATION_PORT| KATEGORIE| SUB_CATEGORY | RICHTUNG| RESULT_STATUS| DETECTION_MECHANISM| APPLICATION_PROTOCOL| NETWORK_PROTOCOL|
Nächste Schritte
Weitere Informationen finden Sie in der entsprechenden Lösung im Azure Marketplace.