[Recommandé] Connecteur OSSEC via AMA pour Microsoft Sentinel
Le connecteur de données OSSEC offre la possibilité d’ingérer des événements OSSEC dans Microsoft Sentinel. Pour plus d’informations, consultez la documentation OSSEC.
Attributs du connecteur
Attribut du connecteur | Description |
---|---|
Table(s) Log Analytics | CommonSecurityLog (OSSEC) |
Prise en charge des règles de collecte de données | Règles de collecte de données (DCR) de l’Agent Azure Monitor |
Pris en charge par | Microsoft Corporation |
Exemples de requête
Les 10 règles principales
OSSECEvent
| summarize count() by RuleName
| top 10 by count_
Prérequis
Pour l’intégrer à [Recommandé] OSSEC via AMA, vérifiez que vous disposez des points suivants :
- **** : Pour collecter des données à partir de machines virtuelles en dehors d’Azure, Azure Arc doit être installé et activé. En savoir plus
- ****: les connecteurs de données Common Event Format (CEF) via AMA et Syslog via AMA doivent être installés En savoir plus
Instructions d’installation du fournisseur
Notes
Ce connecteur de données dépend d’un analyseur basé sur une fonction Kusto, qui est déployé dans le cadre de la solution, pour fonctionner comme prévu. Pour afficher le code de fonction dans Log Analytics, ouvrez le panneau Journaux Log Analytics/Microsoft Sentinel, cliquez sur Fonctions et recherchez l’alias OSSEC et chargez le code de fonction ou cliquez ici, sur la deuxième ligne de la requête, entrez le ou les noms d’hôte de vos appareils OSSEC et tous les autres identificateurs uniques du flux de journaux. L’activation de la fonction prend généralement 10 à 15 minutes après l’installation ou la mise à jour de la solution.
- Sécuriser votre machine
Veillez à configurer la sécurité de la machine en fonction de la stratégie de sécurité de votre organisation
Étapes suivantes
Pour plus d’informations, accédez à la solution associée dans la Place de marché Azure.