[Elavult] ESET PROTECT-összekötő a Microsoft Sentinelhez
Fontos
A sok készülékről és eszközről származó naplógyűjtést mostantól támogatja a Common Event Format (CEF) az AMA-n, a Syslogon keresztül az AMA-n vagy az egyéni naplókon keresztül a Microsoft Sentinel AMA-adatösszekötőn keresztül. További információért lásd: A Microsoft Sentinel-adatösszekötő megkeresése.
Ez az összekötő összegyűjti az ESET szoftver által generált összes eseményt az ESET PROTECT (korábbi nevén ESET Security Management Center) központi felügyeleti megoldáson keresztül. Ez magában foglalja a víruskeresőket, a tűzfalészleléseket, de a fejlettebb EDR-észleléseket is. Az események teljes listáját a dokumentációban találja.
Ez automatikusan létrehozott tartalom. A módosításokért forduljon a megoldásszolgáltatóhoz.
Összekötő attribútumai
| Összekötő attribútum | Leírás |
|---|---|
| Log Analytics-tábla(ok) | Syslog (ESETPROTECT) |
| Adatgyűjtési szabályok támogatása | Munkaterület-átalakítás – DCR |
| Támogatja: | ESET Hollandia |
Példák lekérdezésekre
ESET-veszélyforrások eseményei
ESETPROTECT
| where EventType == 'Threat_Event'
| sort by TimeGenerated desc
Az első 10 észlelt fenyegetés
ESETPROTECT
| where EventType == 'Threat_Event'
| summarize ThreatCount = count() by tostring(ThreatName)
| top 10 by ThreatCount
ESET tűzfalesemények
ESETPROTECT
| where EventType == 'FirewallAggregated_Event'
| sort by TimeGenerated desc
ESET-veszélyforrások eseményei
ESETPROTECT
| where EventType == 'Threat_Event'
| sort by TimeGenerated desc
ESET fenyegetéses események valós idejű fájlrendszer-védelemből
ESETPROTECT
| where EventType == 'Threat_Event'
| where ScanId == 'Real-time file system protection'
| sort by TimeGenerated desc
ESET-fenyegetéses események lekérdezése igény szerinti képolvasóból
ESETPROTECT
| where EventType == 'Threat_Event'
| where ScanId == 'On-demand scanner'
| sort by TimeGenerated desc
A legfontosabb gazdagépek a fenyegetésesemények száma alapján
ESETPROTECT
| where EventType == 'Threat_Event'
| summarize threat_events_count = count() by HostName
| sort by threat_events_count desc
ESET-webhelyek szűrője
ESETPROTECT
| where EventType == 'FilteredWebsites_Event'
| sort by TimeGenerated desc
ESET-naplózási események
ESETPROTECT
| where EventType == 'Audit_Event'
| sort by TimeGenerated desc
Szállító telepítési útmutatója
MEGJEGYZÉS: Ez az adatösszekötő egy Kusto-függvényen alapuló elemzőtől függ, amely a megoldás részeként üzembe helyezett elvárt módon működik. A Log Analytics függvénykódjának megtekintéséhez nyissa meg a Log Analytics/Microsoft Sentinel Naplók panelt, kattintson a Functions elemre, és keresse meg az ESETPROTECT aliast, és töltse be a függvénykódot, vagy kattintson ide. A függvény aktiválása általában 10–15 percet vesz igénybe a megoldás telepítése/frissítése után.
- Az ügynök telepítése és előkészítése Linuxhoz
Az ügynököt általában egy másik számítógépre kell telepítenie, mint amelyiken a naplók létrejönnek.
A syslog-naplók csak Linux-ügynököktől gyűjthetők.
- A gyűjtendő naplók konfigurálása
Konfigurálja a gyűjtendő létesítményeket és azok súlyosságát.
A munkaterület speciális beállításainak konfigurációja területen válassza az Adatok , majd a Syslog lehetőséget.
Válassza az Alábbi konfiguráció alkalmazása a gépeimre lehetőséget, és válassza ki a létesítményeket és súlyosságokat. Az alapértelmezett ESET PROTECT-létesítmény a felhasználó.
Kattintson a Mentés gombra.
AZ ESET PROTECT konfigurálása
Konfigurálja az ESET PROTECT-et az összes esemény Syslogon keresztüli küldéséhez.
A syslog kimenetének konfigurálásához kövesse az alábbi utasításokat . Ügyeljen arra, hogy a BSD formátumot és a TCP-t válassza átvitelként.
Az alábbi utasításokat követve exportálhatja az összes naplót a syslogba. Kimeneti formátumként válassza a JSON-t .
Megjegyzés:- Tekintse meg a naplótovábbító helyi és felhőbeli tárolóhoz való beállításának dokumentációját .
Következő lépések
További információ: a kapcsolódó megoldás az Azure Marketplace-en.