[Veraltet] Digital Guardian Data Loss Prevention Connector für Microsoft Sentinel
Wichtig
Die Protokollsammlung aus vielen Appliances und Geräten wird jetzt vom Common Event Format (CEF) über AMA, Syslog über AMA oder benutzerdefinierte Protokolle über den AMA-Datenconnector in Microsoft Sentinel unterstützt. Weitere Informationen finden Sie unter Suchen Ihres Microsoft Sentinel-Datenconnectors.
Der Datenconnector Digital Guardian Data Loss Prevention (DLP) bietet die Möglichkeit, Digital Guardian DLP-Protokolle in Microsoft Sentinel zu erfassen.
Dieser Inhalt wurde automatisch generiert. Wenden Sie sich im Zusammenhang mit Änderungen an den Lösungsanbieter.
Connectorattribute
Connectorattribut | BESCHREIBUNG |
---|---|
Log Analytics-Tabellen | Syslog (DigitalGuardianDLPEvent) |
Unterstützung für Datensammlungsregeln | Transformations-DCR des Arbeitsbereichs |
Unterstützt von | Microsoft Corporation |
Abfragebeispiele
Wichtigste 10 Clients (Quell-IP-Adresse)
DigitalGuardianDLPEvent
| where notempty(SrcIpAddr)
| summarize count() by SrcIpAddr
| top 10 by count_
Installationsanweisungen des Anbieters
Hinweis
Dieser Datenconnector benötigt einen Parser, der auf einer Kusto-Funktion basiert, damit er wie erwartet funktioniert: DigitalGuardianDLPEvent, bereitgestellt mit der Microsoft Sentinel-Lösung.
- Konfigurieren Sie Digital Guardian so, dass Protokolle über Syslog an den Remoteserver weitergeleitet werden, auf dem Sie den Agent installieren.
Führen Sie die folgenden Schritte aus, um Digital Guardian für die Weiterleitung von Protokollen über Syslog zu konfigurieren:
1.1. Melden Sie sich bei der Verwaltungskonsole für Digital Guardian an.
1.2. Wählen Sie Workspace>Data Export>Create Export (Arbeitsbereich > Datenexport > Export erstellen) aus.
1.3. Wählen Sie in der Liste Data Sources (Datenquellen) Alerts (Warnungen) oder Events (Ereignisse) als Datenquelle aus.
1.4. Wählen Sie aus der Liste Export type (Exporttyp) die Option Syslog aus.
1.5. Wählen Sie aus der Liste Type (Typ) UDP oder TCP als Transportprotokoll aus.
1.6. Geben Sie im Feld Server die IP-Adresse Ihres Syslog-Remoteservers ein.
1.7. Geben Sie im Feld Port die Portnummer 514 ein (oder einen anderen Port, wenn Ihr Syslog-Server für die Verwendung eines nicht standardmäßigen Ports konfiguriert wurde).
1.8. Wählen Sie in der Liste Severity Level (Schweregrad) einen Schweregrad aus.
1.9. Aktivieren Sie das Kontrollkästchen Is Active (Ist aktiv).
1.9. Klicke auf Weiter.
1.10. Fügen Sie aus der Liste der verfügbaren Felder die Felder „Alert“ (Warnung) oder „Event“ (Ereignis) für den Datenexport hinzu.
1.11. Wählen Sie Kriterien für die Felder in Ihrem Datenexport aus, und klicken Sie auf Next (Weiter).
1.12. Wählen Sie eine Gruppe für die Kriterien aus, und klicken Sie auf Next (Weiter).
1.13. Klicken Sie auf Test Query (Abfrage testen).
1.14. Klicke auf Weiter.
1.15. Speichern Sie den Datenexport.
- Agent für Linux oder Windows installieren und integrieren
Installieren Sie den Agent auf dem Server, an den die Protokolle weitergeleitet werden.
Protokolle auf Linux- oder Windows-Servern werden von Linux- oder Windows-Agents gesammelt.
- Überprüfen von Protokollen in Microsoft Sentinel
Öffnen Sie Log Analytics, um mithilfe des Syslog-Schemas zu überprüfen, ob die Protokolle empfangen werden.
HINWEIS: Es kann bis zu 15 Minuten dauern, bis neue Protokolle in der Syslog-Tabelle angezeigt werden.
Nächste Schritte
Weitere Informationen finden Sie in der entsprechenden Lösung im Azure Marketplace.