[En desuso] Conector de Symantec Endpoint Protection para Microsoft Sentinel
Importante
La recopilación de registros de muchos dispositivos y dispositivos ahora es compatible con el formato de evento común (CEF) a través de AMA, Syslog a través de AMA o registros personalizados a través del conector de datos AMA en Microsoft Sentinel. Para más información, consulte Búsqueda del conector de datos de Microsoft Sentinel.
El conector Broadcom Symantec Endpoint Protection (SEP) le permite conectar fácilmente los registros de SEP con Microsoft Sentinel. Esto le ofrece más información sobre la red de su organización y mejora las capacidades de las operaciones de seguridad.
Este contenido se genera automáticamente. Para los cambios, póngase en contacto con el proveedor de soluciones.
Atributos del conector
| Atributo del conector | Descripción |
|---|---|
| Tabla de Log Analytics | Syslog (SymantecEndpointProtection) |
| Compatibilidad con reglas de recopilación de datos | DCR de transformación del área de trabajo |
| Compatible con | Microsoft Corporation |
Ejemplos de consultas
**Principales 10 tipos de registro **
SymantecEndpointProtection
| summarize count() by LogType
| top 10 by count_
Principales 10 usuarios
SymantecEndpointProtection
| summarize count() by UserName
| top 10 by count_
Requisitos previos
Para realizar la integración con [En desuso] Symantec Endpoint Protection, asegúrese de que tiene:
- Symantec Endpoint Protection (SEP): debe configurarse para poder exportar registros a través de Syslog.
Instrucciones de instalación del proveedor
NOTA: este conector de datos depende de un analizador basado en una función de Kusto para que funcione según lo previsto, el cual se implementa como parte de la solución. Para ver el código de función en Log Analytics, abra la hoja Registros de Log Analytics/Microsoft Sentinel, haga clic en Funciones, busque el alias Symantec Endpoint Protection y cargue el código de la función o haga clic aquí; en la segunda línea de la consulta, escriba los nombres de host de los dispositivos SymantecEndpointProtection y cualquier otro identificador único para el flujo de registro. La función normalmente tarda entre 10 y 15 minutos en activarse después de la instalación o actualización de la solución.
- Instale e incorpore el agente para Linux.
Normalmente, debe instalar el agente en un equipo distinto de aquel en el que se generan los registros.
Los registros de Syslog solo se recopilan de agentes de Linux.
- Configure los registros que se van a recopilar.
Configure las instalaciones que quiera recopilar y sus gravedades.
En Configuración avanzada del área de trabajo, seleccione Datos y, a continuación, Syslog.
Seleccione Aplicar la configuración siguiente a mis máquinas y seleccione las instalaciones y las gravedades.
Haga clic en Save(Guardar).
Configuración y conexión de Symantec Endpoint Protection
Siga estas instrucciones para configurar Symantec Endpoint Protection para reenviar Syslog. Use la dirección IP o el nombre de host del dispositivo Linux con el agente de Linux instalado como dirección IP de destino.
Pasos siguientes
Para obtener más información, vaya a la solución relacionada en Azure Marketplace.