Megosztás a következőn keresztül:

[Elavult] McAfee Network Security Platform-összekötő a Microsoft Sentinelhez

  • Cikk

Fontos

A sok készülékről és eszközről származó naplógyűjtést mostantól támogatja a Common Event Format (CEF) az AMA-n, a Syslogon keresztül az AMA-n vagy az egyéni naplókon keresztül a Microsoft Sentinel AMA-adatösszekötőn keresztül. További információért lásd: A Microsoft Sentinel-adatösszekötő megkeresése.

A McAfee® Network Security Platform adatösszekötője lehetővé teszi a McAfee® hálózati biztonsági platform eseményeinek a Microsoft Sentinelbe való betöltését. További információért tekintse meg a McAfee® Network Security Platformot .

Ez automatikusan létrehozott tartalom. A módosításokért forduljon a megoldásszolgáltatóhoz.

Összekötő attribútumai

Összekötő attribútum Leírás
Log Analytics-tábla(ok) Syslog (McAfeeNSPEvent)
Adatgyűjtési szabályok támogatása Munkaterület-átalakítás – DCR
Támogatja: Microsoft Corporation

Példák lekérdezésekre

A 10 legjobb forrás

McAfeeNSPEvent

| summarize count() by tostring(DvcHostname)

| top 10 by count_

Szállító telepítési útmutatója

Feljegyzés

Ez az adatösszekötő egy Kusto-függvényen alapuló elemzőtől függ, amely a Várt McAfeeNSPEventnek megfelelően működik, amely a Microsoft Sentinel Solution használatával van üzembe helyezve.

Feljegyzés

Ez az adatösszekötő a McAfee® Network Security Platform 10.1.x-es verziójával lett kifejlesztve

  1. Az ügynök telepítése és előkészítése Linux vagy Windows rendszeren

Telepítse az ügynököt arra a kiszolgálóra, amelyen a McAfee® hálózati biztonsági platform naplói továbbításra kerülnek.

A Linux- vagy Windows-kiszolgálókon üzembe helyezett McAfee® hálózati biztonsági platform kiszolgáló naplóit Linux- vagy Windows-ügynökök gyűjtik.

  1. A McAfee® hálózati biztonsági platform eseménytovábbításának konfigurálása

Az alábbi konfigurációs lépéseket követve kérje le a McAfee® Network Security Platform naplóit a Microsoft Sentinelbe.

  1. Az alábbi utasításokat követve továbbíthatja a riasztásokat a Kezelőből egy syslog-kiszolgálóra.
  2. Adjon hozzá egy syslog-értesítési profilt, további részleteket itt talál. Ez kötelező. Profil létrehozásakor, hogy az események megfelelően legyenek formázva, írja be a következő szöveget az Üzenet szövegmezőbe: |SENSOR_ALERT_UUID|ALERT_TYPE|ATTACK_TIME|ATTACK_NAME|ATTACK_ID |ATTACK_SEVERITY|ATTACK_SIGNATURE|ATTACK_CONFIDENCE|ADMIN_DOMAIN|SENSOR_NAME|INTERFÉSZ |SOURCE_IP|SOURCE_PORT|DESTINATION_IP|DESTINATION_PORT|KATEGÓRIA|SUB_CATEGORY |DIRECTION|RESULT_STATUS|DETECTION_MECHANISM|APPLICATION_PROTOCOL|NETWORK_PROTOCOL|

Következő lépések

További információ: a kapcsolódó megoldás az Azure Marketplace-en.