Teilen über


[Veraltet] Pulse Connect Secure Connector für Microsoft Sentinel

Wichtig

Die Protokollsammlung aus vielen Appliances und Geräten wird jetzt vom Common Event Format (CEF) über AMA, Syslog über AMA oder benutzerdefinierte Protokolle über den AMA-Datenconnector in Microsoft Sentinel unterstützt. Weitere Informationen finden Sie unter Suchen Ihres Microsoft Sentinel-Datenconnectors.

Der Pulse Connect Secure-Connector ermöglicht es Ihnen, Ihre Pulse Connect Secure-Protokolle auf einfache Weise mit Azure Sentinel zu verbinden, um Dashboards anzuzeigen, benutzerdefinierte Benachrichtigungen zu erstellen und die Untersuchung zu verbessern. Die Integration von Pulse Connect Secure in Microsoft Sentinel bietet mehr Einblick in das Netzwerk Ihrer Organisation und verbessert Ihre Fähigkeiten für Sicherheitsvorgänge.

Dieser Inhalt wurde automatisch generiert. Wenden Sie sich im Zusammenhang mit Änderungen an den Lösungsanbieter.

Connectorattribute

Connectorattribut BESCHREIBUNG
Log Analytics-Tabellen Syslog (PulseConnectSecure)
Unterstützung für Datensammlungsregeln Transformations-DCR des Arbeitsbereichs
Unterstützt von Microsoft Corporation

Abfragebeispiele

Top 10 der fehlerhaften Anmeldungen nach Benutzer

PulseConnectSecure 

| where vpn_message startswith 'Login failed'

| summarize count() by vpn_user 

| top 10 by count_ 

Top 10 der fehlerhaften Anmeldungen nach IP-Adresse

PulseConnectSecure 

| where vpn_message startswith 'Login failed'

| summarize count() by client_ip 

| top 10 by count_  

Voraussetzungen

Um mit [veraltet] Pulse Connect Secure zu integrieren, stellen Sie sicher, dass Sie folgendes haben:

  • Pulse Connect Secure: muss für das Exportieren von Protokollen über Syslog konfiguriert sein

Installationsanweisungen des Anbieters

Hinweis

Damit dieser Datenconnector wie erwartet funktioniert, ist er von einem Parser abhängig, der auf einer Kusto-Funktion basiert, die als Teil der Lösung bereitgestellt wird. Um den Funktionscode in Log Analytics anzuzeigen, öffnen Sie das Blatt „Log Analytics-/Microsoft Sentinel-Protokolle“, klicken Sie auf „Funktionen“, suchen Sie nach dem Alias „Pulse Connect Secure“, und laden Sie den Funktionscode, oder klicken Sie hier. Geben Sie in der zweiten Zeile der Abfrage die Hostnamen Ihrer Pulse Connect Secure-Geräte und alle anderen eindeutigen Bezeichner für den Protokollstream ein. Die Aktivierung der Funktion dauert nach der Installation/Aktualisierung der Lösung in der Regel zehn bis 15 Minuten.

  1. Installieren und Onboarding des Agents für Linux

In der Regel sollten Sie den Agent auf einem anderen Computer als dem installieren, auf dem die Protokolle generiert werden.

Syslog-Protokolle werden nur von Linux-Agents gesammelt.

  1. Konfigurieren der zu erfassenden Protokolle

Konfigurieren Sie die zu erfassenden Einrichtungen und die zugehörigen Schweregrade.

  1. Wählen Sie unter Konfiguration in den erweiterten Einstellungen des Arbeitsbereichs die Option Daten und dann Syslog aus.

  2. Wählen Sie auf Nachstehende Konfiguration auf meine Computer anwenden aus, und wählen Sie die Einrichtungen und Schweregrade aus.

  3. Klicken Sie auf Speichern.

  4. Konfigurieren und Verbinden von Pulse Connect Secure

Befolgen Sie die Anweisungen, um Syslog-Streaming von Pulse Connect Secure-Protokollen zu aktivieren. Verwenden Sie die IP-Adresse oder den Host-Namen für das Linux-Gerät mit installiertem Linux-Agent als Ziel-IP-Adresse.

Nächste Schritte

Weitere Informationen finden Sie in der entsprechenden Lösung im Azure Marketplace.