[Déconseillé] CONNECTEUR INTUNE PROTECT pour Microsoft Sentinel
Important
La collecte de journaux dans un grand nombre d’appliances et d’appareils est désormais prise en charge par le CEF (Common Event Format) via AMA, Syslog via AMA ou les journaux personnalisés via le connecteur de données AMA dans Microsoft Sentinel. Pour plus d’informations, consultez Rechercher votre connecteur de données Microsoft Sentinel.
Ce connecteur regroupe tous les événements générés par le logiciel ESET via la solution de gestion centrale ESET PROTECT (anciennement ESET Security Management Center). En font partie les détections antivirus, les détections de pare-feu, mais aussi des détections EDR plus poussées. Pour obtenir la liste complète des événements, consultez la documentation.
Ce contenu est généré automatiquement. Pour toute modification, contactez le fournisseur de la solution.
Attributs du connecteur
Attribut du connecteur | Description |
---|---|
Table(s) Log Analytics | Syslog (ESETPROTECT) |
Prise en charge des règles de collecte de données | Règles de collecte de données pour la transformation de l’espace de travail |
Pris en charge par | ESET Pays-Bas |
Exemples de requête
Événements de menace ESET
ESETPROTECT
| where EventType == 'Threat_Event'
| sort by TimeGenerated desc
10 principales menaces détectées
ESETPROTECT
| where EventType == 'Threat_Event'
| summarize ThreatCount = count() by tostring(ThreatName)
| top 10 by ThreatCount
Événements de pare-feu ESET
ESETPROTECT
| where EventType == 'FirewallAggregated_Event'
| sort by TimeGenerated desc
Événements de menace ESET
ESETPROTECT
| where EventType == 'Threat_Event'
| sort by TimeGenerated desc
Événements de menace ESET à partir de la protection du système de fichiers en temps réel
ESETPROTECT
| where EventType == 'Threat_Event'
| where ScanId == 'Real-time file system protection'
| sort by TimeGenerated desc
Interroger les événements de menace ESET à partir de l’analyseur à la demande
ESETPROTECT
| where EventType == 'Threat_Event'
| where ScanId == 'On-demand scanner'
| sort by TimeGenerated desc
Principaux hôtes par nombre d’événements de menace
ESETPROTECT
| where EventType == 'Threat_Event'
| summarize threat_events_count = count() by HostName
| sort by threat_events_count desc
Filtre de sites web ESET
ESETPROTECT
| where EventType == 'FilteredWebsites_Event'
| sort by TimeGenerated desc
Événements d’audit ESET
ESETPROTECT
| where EventType == 'Audit_Event'
| sort by TimeGenerated desc
Instructions d’installation du fournisseur
REMARQUE : Ce connecteur de données dépend, pour fonctionner comme prévu, d’un analyseur basé sur une fonction Kusto et déployé dans le cadre de la solution. Pour afficher le code de fonction dans Log Analytics, ouvrez le panneau Journaux Log Analytics/Microsoft Sentinel, cliquez sur Fonctions, recherchez l’alias ESETPROTECT et chargez le code de fonction ou cliquez ici. L’activation de la fonction prend généralement 10 à 15 minutes après l’installation ou la mise à jour de la solution.
- Installer et intégrer l'agent pour Linux
En règle générale, vous devez installer l’agent sur un ordinateur différent de celui sur lequel les journaux sont générés.
Les journaux Syslog sont collectés uniquement à partir d’agents Linux.
- Configurer les journaux à collecter
Configurez les installations à collecter et leurs gravités.
Sous Configuration dans les paramètres avancés de l’espace de travail, sélectionnez Données, puis Syslog.
Sélectionnez Appliquer la configuration ci-dessous à mes machines, puis sélectionnez les installations et les gravités. La fonction ESET PROTECT par défaut est user (utilisateur).
Cliquez sur Enregistrer.
Configurez ESET PROTECT.
Configurez ESET PROTECT pour envoyer tous les événements par Syslog.
Suivez ces instructions pour configurer la sortie syslog. Veillez à sélectionner BSD comme format, et TCP comme transport.
Suivez ces instructions pour exporter tous les journaux vers syslog. Sélectionnez JSON comme format de sortie.
Remarque : Consultez la documentation pour la configuration du redirecteur de journal pour le stockage local et cloud.
Étapes suivantes
Pour plus d’informations, accédez à la solution associée dans la Place de marché Azure.