Partage via


[Déconseillé] Connecteur McAfee Network Security Platform pour Microsoft Sentinel

Important

La collecte de journaux dans un grand nombre d’appliances et d’appareils est désormais prise en charge par le CEF (Common Event Format) via AMA, Syslog via AMA ou les journaux personnalisés via le connecteur de données AMA dans Microsoft Sentinel. Pour plus d’informations, consultez Rechercher votre connecteur de données Microsoft Sentinel.

Le connecteur de données McAfee® Network Security Platform permet d’ingérer les événements McAfee® Network Security Platform dans Microsoft Sentinel. Pour plus d’informations, consultez McAfee® Network Security Platform.

Ce contenu est généré automatiquement. Pour toute modification, contactez le fournisseur de la solution.

Attributs du connecteur

Attribut du connecteur Description
Table(s) Log Analytics Syslog (McAfeeNSPEvent)
Support des Règles de collecte de données Règles de collecte de données pour la transformation de l’espace de travail
Pris en charge par Microsoft Corporation

Exemples de requête

10 sources principales

McAfeeNSPEvent

| summarize count() by tostring(DvcHostname)

| top 10 by count_

Instructions d’installation du fournisseur

Notes

Ce connecteur de données dépend d’un analyseur basé sur une fonction Kusto pour fonctionner comme prévu, McAfeeNSPEvent, qui est déployé avec la solution Microsoft Sentinel.

Notes

Ce connecteur de données a été développé à l’aide de la version 10.1.x de McAfee® Network Security Platform

  1. Installer et intégrer l’agent pour Linux ou Windows

Installez l’agent sur le serveur sur lequel les journaux McAfee® Network Security Platform sont transférés.

Les journaux d’activité de McAfee® Network Security Platform Server déployé sur des serveurs Linux ou Windows sont collectés par des agents Linux ou Windows.

  1. Configurer le transfert d’événements McAfee® Network Security Platform

Suivez les étapes de configuration ci-dessous pour obtenir les journaux McAfee® Network Security Platform dans Microsoft Sentinel.

  1. Suivez ces instructions pour transférer des alertes du Gestionnaire vers un serveur Syslog.
  2. Ajoutez un profil de notification Syslog, plus d’informations ici. Cette donnée est obligatoire. Lors de la création d’un profil, pour vous assurer que les événements sont correctement mis en forme, entrez le texte suivant dans la zone de texte Message : :|SENSOR_ALERT_UUID|ALERT_TYPE|ATTACK_TIME|ATTACK_NAME|ATTACK_ID |ATTACK_SEVERITY|ATTACK_SIGNATURE|ATTACK_CONFIDENCE|ADMIN_DOMAIN|SENSOR_NAME|INTERFACE |SOURCE_IP|SOURCE_PORT|DESTINATION_IP|DESTINATION_PORT|CATEGORY|SUB_CATEGORY |DIRECTION|RESULT_STATUS|DETECTION_MECHANISM|APPLICATION_PROTOCOL|NETWORK_PROTOCOL|

Étapes suivantes

Pour plus d’informations, accédez à la solution associée dans la Place de marché Azure.