Symantec ProxySG-Connector für Microsoft Sentinel

  • Artikel

Symantec ProxySG ermöglicht Ihnen, Ihre Symantec ProxySG-Protokolle auf einfache Weise mit Microsoft Sentinel zu verbinden, um Dashboards anzuzeigen, benutzerdefinierte Warnungen zu erstellen und Untersuchungen zu verbessern. Die Integration von Symantec ProxySG in Microsoft Sentinel bietet mehr Einblick in den Netzwerkproxy-Datenverkehr Ihrer Organisation und verbessert die Sicherheitsüberwachungsfunktionen.

Connector-Attribute

Connectorattribut BESCHREIBUNG
Log Analytics-Tabellen Syslog (SymantecProxySG)
Unterstützung für Datensammlungsregeln Transformations-DCR des Arbeitsbereichs
Unterstützt von Microsoft Corporation

Abfragebeispiele

Top 10 der abgelehnten Benutzer

SymantecProxySG 

| where sc_filter_result == 'DENIED' 

| summarize count() by cs_userdn 

| top 10 by count_

Top 10 der abgelehnten Client-IP-Adressen

SymantecProxySG 

| where sc_filter_result == 'DENIED' 

| summarize count() by c_ip 

| top 10 by count_

Voraussetzungen

Stellen Sie für die Integration in Symantec ProxySG Folgendes sicher:

  • Symantec ProxySG: muss so konfiguriert sein, dass Protokolle über Syslog exportiert werden.

Installationsanweisungen des Anbieters

Hinweis

Damit dieser Datenconnector wie erwartet funktioniert, ist er von einem Parser abhängig, der auf einer Kusto-Funktion basiert, die als Teil der Lösung bereitgestellt wird. Um den Funktionscode in Log Analytics anzuzeigen, öffnen Sie das Blatt „Log Analytics-/Microsoft Sentinel-Protokolle“, klicken Sie auf „Funktionen“, suchen Sie nach dem Alias „Symantec Proxy SG“, und laden Sie den Funktionscode, oder klicken Sie hier. Geben Sie in der zweiten Zeile der Abfrage den/die Hostnamen Ihrer Symantec Proxy SG-Geräte und alle anderen eindeutigen Bezeichner für den Protokollstream ein. Die Aktivierung der Funktion dauert in der Regel 10 bis 15 Minuten nach der Installation/Aktualisierung der Lösung.

  1. Installieren und Onboarding des Agents für Linux

In der Regel sollten Sie den Agent auf einem anderen Computer als dem installieren, auf dem die Protokolle generiert werden.

Syslog-Protokolle werden nur von Linux-Agents gesammelt.

  1. Konfigurieren der zu erfassenden Protokolle

Konfigurieren Sie die zu erfassenden Einrichtungen und die zugehörigen Schweregrade.

  1. Wählen Sie unter Konfiguration in den erweiterten Einstellungen des Arbeitsbereichs die Option Daten und dann Syslog aus.

  2. Wählen Sie auf Nachstehende Konfiguration auf meine Computer anwenden aus, und wählen Sie die Einrichtungen und Schweregrade aus.

  3. Klicken Sie auf Speichern.

  4. Symantec ProxySG konfigurieren und verbinden

  5. Melden Sie sich bei der Blue Coat-Verwaltungskonsole an.

  6. Wählen Sie „Configuration“ > „Access Logging“ > „Formats“ aus.

  7. Wählen Sie Neu aus.

  8. Geben Sie einen eindeutigen Namen in das Feld „Format Name“ ein.

  9. Klicken Sie auf das Optionsfeld für Custom format string, und fügen Sie die folgende Zeichenfolge in das Feld ein:

1 $(date) $(time) $(time-taken) $(c-ip) $(cs-userdn) $(cs-auth-groups) $(x-exception-id) $(sc-filter-result) $(cs-categories) $(quot)$(cs(Referer))$(quot) $(sc-status) $(s-action) $(cs-method) $(quot)$(rs(Content-Type))$(quot) $(cs-uri-scheme) $(cs-host) $(cs-uri-port) $(cs-uri-path) $(cs-uri-query) $(cs-uri-extension) $(quot)$(cs(User-Agent))$(quot) $(s-ip) $(sr-bytes) $(rs-bytes) $(x-virus-id) $(x-bluecoat-application-name) $(x-bluecoat-application-operation) $(cs-uri-port) $(x-cs-client-ip-country) $(cs-threat-risk)

6. Klicken Sie auf die Schaltfläche **OK**. 7. Klicken Sie auf die Schaltfläche **Apply**. 8. Befolgen Sie [diese Anweisungen](https://knowledge.broadcom.com/external/article/166529/sending-access-logs-to-a-syslog-server.html), um das Syslog-Streaming von **Zugriffsprotokollen** zu aktivieren. Verwenden Sie die IP-Adresse oder den Hostnamen für das Linux-Gerät, auf dem der Linux-Agent als Ziel-IP-Adresse installiert ist.

Nächste Schritte

Weitere Informationen finden Sie in der entsprechenden Lösung im Azure Marketplace.