Connector „McAfee Network Security Platform“ für Microsoft Sentinel
Der McAfee® Network Security Platform-Datenconnector bietet die Möglichkeit, McAfee® Network Security Platform-Ereignisse in Microsoft Sentinel aufzunehmen.
Connectorattribute
Connectorattribut | BESCHREIBUNG |
---|---|
Log Analytics-Tabellen | Syslog (McAfeeNSPEvent) |
Unterstützung für Datensammlungsregeln | Transformations-DCR des Arbeitsbereichs |
Unterstützt von | Microsoft Corporation |
Abfragebeispiele
Top 10-Quellen
McAfeeNSPEvent
| summarize count() by tostring(DvcHostname)
| top 10 by count_
Installationsanweisungen des Anbieters
Hinweis
Dieser Datenconnector benötigt einen Parser auf der Basis einer Kusto-Funktion, um erwartungsgemäß zu funktionieren: McAfeeNSPEvent. (Wird zusammen mit der Microsoft Sentinel-Lösung bereitgestellt.) Dieser Datenconnector wurde mit der Version 10.1.x von McAfee® Network Security Platform entwickelt.
Installieren und integrieren Sie den Agent für Linux oder Windows.
Installieren Sie den Agent auf dem Server, auf dem die McAfee® Network Security Platform-Protokolle weitergeleitet werden.
Protokolle von McAfee® Network Security Platform Server auf Linux- oder Windows-Servern werden von Linux- oder Windows-Agents gesammelt.
Konfigurieren Sie die Weiterleitung von McAfee® Network Security Platform-Ereignissen.
Führen Sie die folgenden Konfigurationsschritte aus, um McAfee® Network Security Platform-Protokolle in Microsoft Sentinel zu übertragen.
Um sicherzustellen, dass die Ereignisse richtig formatiert werden, geben Sie beim Erstellen eines Profils den folgenden Text in das Textfeld „Nachricht“ ein:
<SyslogAlertForwarderNSP>:|SENSOR_ALERT_UUID|ALERT_TYPE|ATTACK_TIME|ATTACK_NAME|ATTACK_ID |ATTACK_SEVERITY|ATTACK_SIGNATURE|ATTACK_CONFIDENCE|ADMIN_DOMAIN|SENSOR_NAME|INTERFACE |SOURCE_IP|SOURCE_PORT|DESTINATION_IP|DESTINATION_PORT|CATEGORY|SUB_CATEGORY |DIRECTION|RESULT_STATUS|DETECTION_MECHANISM|APPLICATION_PROTOCOL|NETWORK_PROTOCOL|
Nächste Schritte
Weitere Informationen finden Sie in der entsprechenden Lösung im Azure Marketplace.