Connector „McAfee Network Security Platform“ für Microsoft Sentinel
Mit dem Datenconnector McAfee® Network Security Platform können McAfee® Network Security Platform-Ereignisse in Microsoft Sentinel erfasst werden.
Dieser Inhalt wurde automatisch generiert. Wenden Sie sich im Zusammenhang mit Änderungen an den Lösungsanbieter.
Connectorattribute
Connectorattribut | BESCHREIBUNG |
---|---|
Log Analytics-Tabellen | Syslog (McAfeeNSPEvent) |
Unterstützung für Datensammlungsregeln | Transformations-DCR des Arbeitsbereichs |
Unterstützt von | Microsoft Corporation |
Abfragebeispiele
Top 10-Quellen
McAfeeNSPEvent
| summarize count() by tostring(DvcHostname)
| top 10 by count_
Installationsanweisungen des Anbieters
Hinweis
Dieser Datenconnector benötigt einen Parser auf der Basis einer Kusto-Funktion, um erwartungsgemäß zu funktionieren: McAfeeNSPEvent. (Wird zusammen mit der Microsoft Sentinel-Lösung bereitgestellt.)
Hinweis
Dieser Datenconnector wurde mit der Version 10.1.x von McAfee® Network Security Platform entwickelt.
Installieren und Integrieren des Agent für Linux oder Windows
Installieren Sie den Agent auf dem Server, auf dem die McAfee® Network Security Platform-Protokolle weitergeleitet werden.
Protokolle von McAfee® Network Security Platform Server auf Linux- oder Windows-Servern werden von Linux- oder Windows-Agents gesammelt.
Konfigurieren der Weiterleitung von McAfee® Network Security Platform-Ereignissen
Führen Sie die folgenden Konfigurationsschritte aus, um McAfee® Network Security Platform-Protokolle in Microsoft Sentinel zu übertragen.
Um sicherzustellen, dass die Ereignisse richtig formatiert werden, geben Sie beim Erstellen eines Profils den folgenden Text in das Textfeld „Nachricht“ ein:
<SyslogAlertForwarderNSP>:|SENSOR_ALERT_UUID|ALERT_TYPE|ATTACK_TIME|ATTACK_NAME|ATTACK_ID |ATTACK_SEVERITY|ATTACK_SIGNATURE|ATTACK_CONFIDENCE|ADMIN_DOMAIN|SENSOR_NAME|INTERFACE |SOURCE_IP|SOURCE_PORT|DESTINATION_IP|DESTINATION_PORT|CATEGORY|SUB_CATEGORY |DIRECTION|RESULT_STATUS|DETECTION_MECHANISM|APPLICATION_PROTOCOL|NETWORK_PROTOCOL|
Nächste Schritte
Weitere Informationen finden Sie in der entsprechenden Lösung im Azure Marketplace.
Feedback
https://aka.ms/ContentUserFeedback.
Bald verfügbar: Im Laufe des Jahres 2024 werden wir GitHub-Tickets als Feedbackmechanismus für Inhalte auslaufen lassen und es durch ein neues Feedbacksystem ersetzen. Weitere Informationen finden Sie unter:Einreichen und Feedback anzeigen für