Connecteur Forescout pour Microsoft Sentinel

  • Article

Le connecteur de données Forescout offre la possibilité d’ingérer des événements Forescout dans Microsoft Sentinel. Reportez-vous à la documentation Forescout pour plus d’informations.

Attributs du connecteur

Attribut du connecteur Description
Table(s) Log Analytics Syslog(ForescoutEvent)
Prise en charge des règles de collecte des données Règles de collecte de données pour la transformation de l’espace de travail
Pris en charge par Microsoft Corporation

Exemples de requête

10 sources principales

ForescoutEvent

| summarize count() by tostring(SrcIpAddr)

| top 10 by count_

Instructions d’installation du fournisseur

Notes

Ce connecteur de données dépend d’un analyseur basé sur une fonction Kusto pour fonctionner comme prévu ForescoutEvent qui est déployé avec la solution Microsoft Sentinel.

Notes

Ce connecteur de données a été développé à l’aide du plug-in Syslog Forescout version : v3.6

  1. Installer et intégrer l’agent pour Linux ou Windows

Installez l'agent sur le serveur sur lequel les journaux de Forescout sont transférés.

Les journaux d’activité du serveur Forescout déployé sur des serveurs Linux ou Windows sont collectés par des agents Linux ou Windows.

  1. Configurer les journaux à collecter

Configurez les installations à collecter et leurs gravités.

  1. Sous Configuration dans les paramètres avancés de l’espace de travail, sélectionnez Données, puis Syslog.

  2. Sélectionnez Appliquer la configuration ci-dessous à mes machines, puis sélectionnez les installations et les gravités.

  3. Cliquez sur Enregistrer.

  4. Configurer le transfert d’événements Forescout

Suivez les étapes de configuration ci-dessous pour avoir les journaux Forescout dans Microsoft Sentinel.

  1. Sélectionnez une appliance à configurer.
  2. Suivez ces instructions pour transférer des alertes depuis la plateforme Forescout vers un serveur Syslog.
  3. Configurez les paramètres sous l’onglet Déclencheurs Syslog.

Étapes suivantes

Pour plus d’informations, accédez à la solution associée dans la Place de marché Azure.