Connecteur Digital Guardian Data Loss Prevention pour Microsoft Sentinel
Le connecteur de données Digital Guardian Data Loss Prevention (DLP) offre la possibilité d’ingérer des journaux Digital Guardian DLP dans Microsoft Sentinel.
Ce contenu est généré automatiquement. Pour toute modification, contactez le fournisseur de la solution.
Attributs du connecteur
| Attribut du connecteur | Description |
|---|---|
| Table(s) Log Analytics | Syslog (DigitalGuardianDLPEvent) |
| Support des Règles de collecte de données | Règles de collecte de données pour la transformation de l’espace de travail |
| Pris en charge par | Microsoft Corporation |
Exemples de requête
10 principaux clients (adresse IP source)
DigitalGuardianDLPEvent
| where notempty(SrcIpAddr)
| summarize count() by SrcIpAddr
| top 10 by count_
Instructions d’installation du fournisseur
Notes
Ce connecteur de données dépend d’un analyseur basé sur une fonction Kusto pour fonctionner comme prévu, DigitalGuardianDLPEvent, qui est déployé avec la solution Microsoft Sentinel.
- Configurez Digital Guardian pour transférer les journaux via Syslog vers le serveur distant où vous allez installer l’agent.
Pour configurer Digital Guardian pour transférer les journaux via Syslog, procédez comme suit :
1.1. Connectez-vous à la console de gestion Digital Guardian.
1.2. Sélectionnez Espace de travail>Exporter les données>Créer une exportation.
1.3. Dans la liste Sources de données, sélectionnez Alertes ou Événements comme source de données.
1.4. Dans la liste Type d’exportation, sélectionnez Syslog.
1.5. Dans la liste Type, sélectionnez UDP ou TCP comme protocole de transport.
1.6. Dans le champ Serveur, tapez l’adresse IP de votre serveur Syslog distant.
1.7. Dans le champ Port, tapez 514 (ou un autre port si votre serveur Syslog a été configuré pour utiliser un port autre que celui par défaut).
1.8. Dans la liste Niveau de gravité, sélectionnez un niveau de gravité.
1.9. Activez la case à cocher Est actif.
1.9. Cliquez sur Suivant.
1.10. Dans la liste des champs disponibles, ajoutez des champs Alerte ou Événement pour votre exportation de données.
1.11. Sélectionnez un critère pour les champs de votre exportation de données, puis cliquez sur Suivant.
1.12. Sélectionnez un groupe pour les critères, puis cliquez sur Suivant.
1.13. Cliquez sur Tester la requête.
1.14. Cliquez sur Suivant.
1.15. Enregistrez l’exportation de données.
- Installer et intégrer l’agent pour Linux ou Windows
Installez l’agent sur le serveur vers lequel les journaux seront transférés.
Les journaux sur les serveurs Linux ou Windows sont collectés par les agents Linux ou Windows.
- Vérifier les journaux dans Microsoft Azure Sentinel
Ouvrez Log Analytics pour vérifier si les journaux sont reçus à l’aide du schéma Syslog.
REMARQUE : il peut falloir jusqu’à 15 minutes avant que les nouveaux journaux s’affichent dans la table Syslog.
Étapes suivantes
Pour plus d’informations, accédez à la solution associée dans la Place de marché Azure.