[En desuso] Conector de McAfee Network Security Platform para Microsoft Sentinel
Importante
La recopilación de registros de muchos dispositivos y dispositivos ahora es compatible con el formato de evento común (CEF) a través de AMA, Syslog a través de AMA o registros personalizados a través del conector de datos AMA en Microsoft Sentinel. Para más información, consulte Búsqueda del conector de datos de Microsoft Sentinel.
El conector de datos McAfee® Network Security Platform proporciona la capacidad de ingerir eventos de McAfee® Network Security Platform en Microsoft Sentinel. Consulte McAfee® Network Security Platform para obtener más información.
Este contenido se genera automáticamente. Para los cambios, póngase en contacto con el proveedor de soluciones.
Atributos del conector
| Atributo del conector | Descripción |
|---|---|
| Tabla de Log Analytics | Syslog (McAfeeNSPEvent) |
| Compatibilidad con reglas de recopilación de dato | DCR de transformación del área de trabajo |
| Compatible con | Microsoft Corporation |
Ejemplos de consultas
Principales 10 orígenes
McAfeeNSPEvent
| summarize count() by tostring(DvcHostname)
| top 10 by count_
Instrucciones de instalación del proveedor
Nota
Este conector de datos depende de un analizador basado en una función de Kusto para que funcione según lo previsto en McAfeeNSPEvent, que se implementa con la solución de Microsoft Sentinel.
Nota:
Este conector de datos se ha desarrollado con McAfee® Network Security Platform, versión: 10.1.x
- Instalación e incorporación del agente para Linux o Windows
Instale el agente en el servidor donde se reenvían los registros de McAfee® Network Security Platform.
Los registros de McAfee® Network Security Platform Server implementados en servidores Linux o Windows se recopilan mediante agentes de Linux o Windows.
- Configuración del reenvío de eventos de McAfee® Network Security Platform
Siga los pasos de configuración siguientes para obtener los registros de McAfee® Network Security Platform en Microsoft Sentinel.
- Siga estas instrucciones para reenviar alertas del Administrador a un servidor de syslog.
- Agregue un perfil de notificación de syslog; obtenga más detalles aquí. Esto es necesario. Al crear el perfil, para asegurarse de que los eventos tienen el formato correcto, escriba el texto siguiente en el cuadro de texto Mensaje: :|SENSOR_ALERT_UUID|ALERT_TYPE|ATTACK_TIME|ATTACK_NAME|ATTACK_ID |ATTACK_SEVERITY|ATTACK_SIGNATURE|ATTACK_CONFIDENCE|ADMIN_DOMAIN|SENSOR_NAME|INTERFACE |SOURCE_IP|SOURCE_PORT|DESTINATION_IP|DESTINATION_PORT|CATEGORY|SUB_CATEGORY |DIRECTION|RESULT_STATUS|DETECTION_MECHANISM|APPLICATION_PROTOCOL|NETWORK_PROTOCOL|
Pasos siguientes
Para obtener más información, vaya a la solución relacionada en Azure Marketplace.