Connecteur Symantec ProxySG pour Microsoft Sentinel

  • Article

Symantec ProxySG vous permet de connecter facilement vos journaux Symantec ProxySG à Microsoft Sentinel pour consulter des tableaux de bord, créer des alertes personnalisées et améliorer les investigations. L’intégration de Symantec ProxySG à Microsoft Sentinel offre une meilleure visibilité du trafic de proxy réseau de votre organisation et améliore les fonctionnalités de surveillance de la sécurité.

Attributs du connecteur

Attribut du connecteur Description
Table(s) Log Analytics Syslog (SymantecProxySG)
Prise en charge des règles de collecte de données Règles de collecte de données pour la transformation de l’espace de travail
Pris en charge par Microsoft Corporation

Exemples de requête

Top 10 des utilisateurs refusés

SymantecProxySG 

| where sc_filter_result == 'DENIED' 

| summarize count() by cs_userdn 

| top 10 by count_

Top 10 des IP clientes refusées

SymantecProxySG 

| where sc_filter_result == 'DENIED' 

| summarize count() by c_ip 

| top 10 by count_

Prérequis

Pour intégrer Symantec ProxySG, veillez à avoir :

  • Symantec ProxySG : doit être configuré pour exporter les journaux via Syslog.

Instructions d’installation du fournisseur

Notes

Ce connecteur de données dépend d’un analyseur basé sur une fonction Kusto, qui est déployé dans le cadre de la solution, pour fonctionner comme prévu. Pour afficher le code de fonction dans Log Analytics, ouvrez le panneau Journaux Log Analytics/Microsoft Sentinel, cliquez sur Fonctions, recherchez l’alias Symantec Proxy SG et chargez le code de fonction ou cliquez ici. À la deuxième ligne de la requête, entrez le ou les noms d’hôte de vos appareils Symantec Proxy SG et tous les autres identificateurs uniques pour le flux de journal. L’activation de la fonction prend généralement 10 à 15 minutes après l’installation ou la mise à jour de la solution.

  1. Installer et intégrer l'agent pour Linux

En règle générale, vous devez installer l’agent sur un ordinateur différent de celui sur lequel les journaux sont générés.

Les journaux Syslog sont collectés uniquement à partir d’agents Linux.

  1. Configurer les journaux à collecter

Configurez les installations à collecter et leurs gravités.

  1. Sous Configuration dans les paramètres avancés de l’espace de travail, sélectionnez Données, puis Syslog.

  2. Sélectionnez Appliquer la configuration ci-dessous à mes machines, puis sélectionnez les installations et les gravités.

  3. Cliquez sur Enregistrer.

  4. Configurer et connecter Symantec ProxySG

  5. Connectez-vous à la console de gestion Blue Coat.

  6. Sélectionnez Accès à la configuration > Formats de la journalisation >.

  7. Sélectionnez Nouveau.

  8. Entrez un nom unique dans le champ Nom du format.

  9. Cliquez sur la case d’option Chaîne de format personnalisée et collez la chaîne suivante dans le champ.

1 $(date) $(time) $(time-taken) $(c-ip) $(cs-userdn) $(cs-auth-groups) $(x-exception-id) $(sc-filter-result) $(cs-categories) $(quot)$(cs(Referer))$(quot) $(sc-status) $(s-action) $(cs-method) $(quot)$(rs(Content-Type))$(quot) $(cs-uri-scheme) $(cs-host) $(cs-uri-port) $(cs-uri-path) $(cs-uri-query) $(cs-uri-extension) $(quot)$(cs(User-Agent))$(quot) $(s-ip) $(sr-bytes) $(rs-bytes) $(x-virus-id) $(x-bluecoat-application-name) $(x-bluecoat-application-operation) $(cs-uri-port) $(x-cs-client-ip-country) $(cs-threat-risk)

6. Cliquez sur le bouton **OK**. 7. Cliquez sur le bouton **Appliquer**. 8. [Suivez ces instructions] https://knowledge.broadcom.com/external/article/166529/sending-access-logs-to-a-syslog-server.html)pour activer la diffusion en continu syslog des journaux d’**accès**. Utilisez l’adresse IP ou le nom d’hôte pour l’appareil Linux avec l’agent Linux installé comme adresse IP de destination

Étapes suivantes

Pour plus d’informations, accédez à la solution associée dans la Place de marché Azure.