[En desuso] Conector de Symantec ProxySG para Microsoft Sentinel
Importante
La recopilación de registros de muchos dispositivos y dispositivos ahora es compatible con el formato de evento común (CEF) a través de AMA, Syslog a través de AMA o registros personalizados a través del conector de datos AMA en Microsoft Sentinel. Para más información, consulte Búsqueda del conector de datos de Microsoft Sentinel.
Symantec ProxySG le permite conectar fácilmente los registros de Symantec ProxySG con Microsoft Sentinel para ver paneles, crear alertas personalizadas y mejorar la investigación. La integración de Symantec ProxySG con Microsoft Sentinel proporciona más visibilidad sobre el tráfico de proxy de red de la organización y mejorará las funcionalidades de supervisión de seguridad.
Este contenido se genera automáticamente. Para los cambios, póngase en contacto con el proveedor de soluciones.
Atributos del conector
Atributo del conector | Descripción |
---|---|
Tabla de Log Analytics | Syslog (SymantecProxySG) |
Soporte de reglas de recopilación de datos | DCR de transformación del área de trabajo |
Compatible con | Microsoft Corporation |
Ejemplos de consultas
Principales 10 usuarios denegados
SymantecProxySG
| where sc_filter_result == 'DENIED'
| summarize count() by cs_userdn
| top 10 by count_
Principales 10 IP denegadas de clientes
SymantecProxySG
| where sc_filter_result == 'DENIED'
| summarize count() by c_ip
| top 10 by count_
Requisitos previos
Para integrar con [En desuso] Symantec ProxySG, asegúrese de que tiene:
- Symantec ProxySG: debe estar configurado para poder exportar registros a través de Syslog
Instrucciones de instalación del proveedor
Nota
Este conector de datos depende de un analizador basado en una función de Kusto para que funcione según lo previsto, el cual se implementará como parte de la solución. Para ver el código de función en el análisis de registros, abre la hoja Registros de Log Analytics/Microsoft Sentinel, haz clic en Funciones, busca el alias Proxy SG y carga el código de la función o haz clic aquí. En la segunda línea de la consulta, escribe los nombres de host de los dispositivos Proxy SG y cualquier otro identificador único para el flujo de registro. La función normalmente tardará entre 10 y 15 minutos en activarse después de la instalación o actualización de la solución.
- Instale e incorpore el agente para Linux.
Normalmente, debe instalar el agente en un equipo distinto de aquel en el que se generan los registros.
Los registros de Syslog solo se recopilan de agentes de Linux.
- Configure los registros que se van a recopilar.
Configure las instalaciones que quiera recopilar y sus gravedades.
En Configuración avanzada del área de trabajo, seleccione Datos y, a continuación, Syslog.
Seleccione Aplicar la configuración siguiente a mis máquinas y seleccione las instalaciones y las gravedades.
Haga clic en Save(Guardar).
Configuración y conexión de Symantec ProxySG
Inicie sesión en la Consola de administración de Blue Coat.
Seleccione Formatos de registro de >Acceso de configuración > .
Seleccione Nuevo.
Escriba un nombre único en el campo Format Name (Nombre de formato).
Haga clic en el botón de radio para Cadena de formato personalizado y pegue la cadena siguiente en el campo .
1 $(date) $(time) $(time-taken) $(c-ip) $(cs-userdn) $(cs-auth-groups) $(x-exception-id) $(sc-filter-result) $(cs-categories) $(quot)$(cs(Referer))$(quot) $(sc-status) $(s-action) $(cs-method) $(quot)$(rs(Content-Type))$(quot) $(cs-uri-scheme) $(cs-host) $(cs-uri-port) $(cs-uri-path) $(cs-uri-query) $(cs-uri-extension) $(quot)$(cs(User-Agent))$(quot) $(s-ip) $(sr-bytes) $(rs-bytes) $(x-virus-id) $(x-bluecoat-application-name) $(x-bluecoat-application-operation) $(cs-uri-port) $(x-cs-client-ip-country) $(cs-threat-risk)
Pasos siguientes
Para obtener más información, vaya a la solución relacionada en Azure Marketplace.