Connecteur McAfee Network Security Platform pour Microsoft Sentinel
Le connecteur de données McAfee® Network Security Platform offre la possibilité d’ingérer des événements McAfee® Network Security Platform dans Microsoft Sentinel.
Attributs du connecteur
| Attribut du connecteur | Description |
|---|---|
| Table(s) Log Analytics | Syslog (McAfeeNSPEvent) |
| Support des Règles de collecte de données | Règles de collecte de données pour la transformation de l’espace de travail |
| Pris en charge par | Microsoft Corporation |
Exemples de requête
10 sources principales
McAfeeNSPEvent
| summarize count() by tostring(DvcHostname)
| top 10 by count_
Instructions d’installation du fournisseur
Notes
Ce connecteur de données dépend d’un analyseur basé sur une fonction Kusto pour fonctionner comme prévu, McAfeeNSPEvent, qui est déployé avec la solution Microsoft Sentinel. Ce connecteur de données a été développé à l’aide de la version 10.1.x de McAfee® Network Security Platform
Installez et intégrez l’agent pour Linux ou Windows.
Installez l’agent sur le serveur sur lequel les journaux McAfee® Network Security Platform sont transférés.
Les journaux d’activité de McAfee® Network Security Platform Server déployé sur des serveurs Linux ou Windows sont collectés par des agents Linux ou Windows.
Configurez le transfert d’événements McAfee® Network Security Platform.
Suivez les étapes de configuration ci-dessous pour obtenir les journaux McAfee® Network Security Platform dans Microsoft Sentinel.
Lorsque vous créez un profil, pour garantir que les évènements sont correctement formatés, entrez le texte suivant dans la zone de texte Message :
<SyslogAlertForwarderNSP>:|SENSOR_ALERT_UUID|ALERT_TYPE|ATTACK_TIME|ATTACK_NAME|ATTACK_ID |ATTACK_SEVERITY|ATTACK_SIGNATURE|ATTACK_CONFIDENCE|ADMIN_DOMAIN|SENSOR_NAME|INTERFACE |SOURCE_IP|SOURCE_PORT|DESTINATION_IP|DESTINATION_PORT|CATEGORY|SUB_CATEGORY |DIRECTION|RESULT_STATUS|DETECTION_MECHANISM|APPLICATION_PROTOCOL|NETWORK_PROTOCOL|
Étapes suivantes
Pour plus d’informations, accédez à la solution associée dans la Place de marché Azure.