Partager via


[Déconseillé] CONNECTEUR INTUNE PROTECT pour Microsoft Sentinel

Important

La collecte de journaux dans un grand nombre d’appliances et d’appareils est désormais prise en charge par le CEF (Common Event Format) via AMA, Syslog via AMA ou les journaux personnalisés via le connecteur de données AMA dans Microsoft Sentinel. Pour plus d’informations, consultez Rechercher votre connecteur de données Microsoft Sentinel.

Ce connecteur regroupe tous les événements générés par le logiciel ESET via la solution de gestion centrale ESET PROTECT (anciennement ESET Security Management Center). En font partie les détections antivirus, les détections de pare-feu, mais aussi des détections EDR plus poussées. Pour obtenir la liste complète des événements, consultez la documentation.

Ce contenu est généré automatiquement. Pour toute modification, contactez le fournisseur de la solution.

Attributs du connecteur

Attribut du connecteur Description
Table(s) Log Analytics Syslog (ESETPROTECT)
Prise en charge des règles de collecte de données Règles de collecte de données pour la transformation de l’espace de travail
Pris en charge par ESET Pays-Bas

Exemples de requête

Événements de menace ESET

ESETPROTECT

| where EventType == 'Threat_Event'

| sort by TimeGenerated desc

10 principales menaces détectées

ESETPROTECT

| where EventType == 'Threat_Event'

| summarize ThreatCount = count() by tostring(ThreatName)

| top 10 by ThreatCount

Événements de pare-feu ESET

ESETPROTECT

| where EventType == 'FirewallAggregated_Event'

| sort by TimeGenerated desc

Événements de menace ESET

ESETPROTECT

| where EventType == 'Threat_Event'

| sort by TimeGenerated desc

Événements de menace ESET à partir de la protection du système de fichiers en temps réel

ESETPROTECT

| where EventType == 'Threat_Event'

| where ScanId == 'Real-time file system protection'

| sort by TimeGenerated desc

Interroger les événements de menace ESET à partir de l’analyseur à la demande

ESETPROTECT

| where EventType == 'Threat_Event'

| where ScanId == 'On-demand scanner'

| sort by TimeGenerated desc

Principaux hôtes par nombre d’événements de menace

ESETPROTECT

| where EventType == 'Threat_Event'

| summarize threat_events_count = count() by HostName

| sort by threat_events_count desc

Filtre de sites web ESET

ESETPROTECT

| where EventType == 'FilteredWebsites_Event'

| sort by TimeGenerated desc

Événements d’audit ESET

ESETPROTECT

| where EventType == 'Audit_Event'

| sort by TimeGenerated desc

Instructions d’installation du fournisseur

REMARQUE : Ce connecteur de données dépend, pour fonctionner comme prévu, d’un analyseur basé sur une fonction Kusto et déployé dans le cadre de la solution. Pour afficher le code de fonction dans Log Analytics, ouvrez le panneau Journaux Log Analytics/Microsoft Sentinel, cliquez sur Fonctions, recherchez l’alias ESETPROTECT et chargez le code de fonction ou cliquez ici. L’activation de la fonction prend généralement 10 à 15 minutes après l’installation ou la mise à jour de la solution.

  1. Installer et intégrer l'agent pour Linux

En règle générale, vous devez installer l’agent sur un ordinateur différent de celui sur lequel les journaux sont générés.

Les journaux Syslog sont collectés uniquement à partir d’agents Linux.

  1. Configurer les journaux à collecter

Configurez les installations à collecter et leurs gravités.

  1. Sous Configuration dans les paramètres avancés de l’espace de travail, sélectionnez Données, puis Syslog.

  2. Sélectionnez Appliquer la configuration ci-dessous à mes machines, puis sélectionnez les installations et les gravités. La fonction ESET PROTECT par défaut est user (utilisateur).

  3. Cliquez sur Enregistrer.

  4. Configurez ESET PROTECT.

Configurez ESET PROTECT pour envoyer tous les événements par Syslog.

  1. Suivez ces instructions pour configurer la sortie syslog. Veillez à sélectionner BSD comme format, et TCP comme transport.

  2. Suivez ces instructions pour exporter tous les journaux vers syslog. Sélectionnez JSON comme format de sortie.

Remarque : Consultez la documentation pour la configuration du redirecteur de journal pour le stockage local et cloud.

Étapes suivantes

Pour plus d’informations, accédez à la solution associée dans la Place de marché Azure.