Compartir a través de


[En desuso] Conector de McAfee Network Security Platform para Microsoft Sentinel

Importante

La recopilación de registros de muchos dispositivos y dispositivos ahora es compatible con el formato de evento común (CEF) a través de AMA, Syslog a través de AMA o registros personalizados a través del conector de datos AMA en Microsoft Sentinel. Para más información, consulte Búsqueda del conector de datos de Microsoft Sentinel.

El conector de datos McAfee® Network Security Platform proporciona la capacidad de ingerir eventos de McAfee® Network Security Platform en Microsoft Sentinel. Consulte McAfee® Network Security Platform para obtener más información.

Este contenido se genera automáticamente. Para los cambios, póngase en contacto con el proveedor de soluciones.

Atributos del conector

Atributo del conector Descripción
Tabla de Log Analytics Syslog (McAfeeNSPEvent)
Compatibilidad con reglas de recopilación de dato DCR de transformación del área de trabajo
Compatible con Microsoft Corporation

Ejemplos de consultas

Principales 10 orígenes

McAfeeNSPEvent

| summarize count() by tostring(DvcHostname)

| top 10 by count_

Instrucciones de instalación del proveedor

Nota

Este conector de datos depende de un analizador basado en una función de Kusto para que funcione según lo previsto en McAfeeNSPEvent, que se implementa con la solución de Microsoft Sentinel.

Nota:

Este conector de datos se ha desarrollado con McAfee® Network Security Platform, versión: 10.1.x

  1. Instalación e incorporación del agente para Linux o Windows

Instale el agente en el servidor donde se reenvían los registros de McAfee® Network Security Platform.

Los registros de McAfee® Network Security Platform Server implementados en servidores Linux o Windows se recopilan mediante agentes de Linux o Windows.

  1. Configuración del reenvío de eventos de McAfee® Network Security Platform

Siga los pasos de configuración siguientes para obtener los registros de McAfee® Network Security Platform en Microsoft Sentinel.

  1. Siga estas instrucciones para reenviar alertas del Administrador a un servidor de syslog.
  2. Agregue un perfil de notificación de syslog; obtenga más detalles aquí. Esto es necesario. Al crear el perfil, para asegurarse de que los eventos tienen el formato correcto, escriba el texto siguiente en el cuadro de texto Mensaje: :|SENSOR_ALERT_UUID|ALERT_TYPE|ATTACK_TIME|ATTACK_NAME|ATTACK_ID |ATTACK_SEVERITY|ATTACK_SIGNATURE|ATTACK_CONFIDENCE|ADMIN_DOMAIN|SENSOR_NAME|INTERFACE |SOURCE_IP|SOURCE_PORT|DESTINATION_IP|DESTINATION_PORT|CATEGORY|SUB_CATEGORY |DIRECTION|RESULT_STATUS|DETECTION_MECHANISM|APPLICATION_PROTOCOL|NETWORK_PROTOCOL|

Pasos siguientes

Para obtener más información, vaya a la solución relacionada en Azure Marketplace.