Symantec Integrated Cyber Defense Exchange-Connector für Microsoft Sentinel
Mit dem Symantec ICDx-Connector können Sie die Protokolle Ihrer Symantec-Sicherheitslösungen auf einfache Weise mit Microsoft Sentinel verbinden, um Dashboards anzuzeigen, benutzerdefinierte Warnungen zu erstellen und Untersuchungen zu verbessern. Dadurch erhalten Sie einen besseren Einblick in das Netzwerk Ihrer Organisation und bessere Möglichkeiten für Sicherheitsvorgänge.
Dieser Inhalt wurde automatisch generiert. Wenden Sie sich im Zusammenhang mit Änderungen an den Lösungsanbieter.
Connectorattribute
| Connectorattribut | BESCHREIBUNG |
|---|---|
| Log Analytics-Tabellen | SymantecICDx_CL |
| Unterstützung für Datensammlungsregeln | Derzeit nicht unterstützt |
| Unterstützt von | Microsoft Corporation |
Abfragebeispiele
Nach IP-Adresse der Verbindungsquelle zusammenfassen
SymantecICDx_CL
| summarize count() by connection_src_ip_s
Nach Bedrohungs-ID zusammenfassen
SymantecICDx_CL
| summarize count() by threat_id_d
Installationsanweisungen des Anbieters
Konfigurieren von und Herstellen einer Verbindung mit Symantec ICDx
- Klicken Sie in der ICDX-Navigationsleiste auf Configuration (Konfiguration).
- Klicken Sie oben auf dem Bildschirm Konfiguration auf Weiterleitungen, und klicken Sie neben „Microsoft Sentinel (Log Analytics)“ auf Hinzufügen.
- Klicken Sie in dem Fenster „Microsoft Sentinel (Log Analytics)“, das geöffnet wird, auf Erweiterte anzeigen. Informationen zum Festlegen erweiterter Features finden Sie in der Dokumentation.
- Stellen Sie sicher, dass Sie einen Namen für die Weiterleitung festlegen, und legen Sie unter „Azure-Ziel“ die folgenden erforderlichen Felder fest:
- Arbeitsbereichs-ID: Fügen Sie die Arbeitsbereichs-ID von der Connectorseite des Microsoft Sentinel-Portals ein.
- Primärschlüssel: Fügen Sie den Primärschlüssel von der Connectorseite des Microsoft Sentinel-Portals ein.
- Custom Log Name (Name des benutzerdefinierten Protokolls): Geben Sie den Namen des benutzerdefinierten Protokolls im Log Analytics-Arbeitsbereich des Microsoft Azure-Portals ein, zu dem Sie Ereignisse weiterleiten möchten. Der Standardwert ist SymantecICDx.
- Klicken Sie auf „Speichern“. Um die Weiterleitung zu starten, wechseln Sie zu „Optionen“ > „Mehr“, und klicken Sie auf Start.
Nächste Schritte
Weitere Informationen finden Sie in der entsprechenden Lösung im Azure Marketplace.