[Elavult] Symantec ProxySG-összekötő a Microsoft Sentinelhez
Fontos
A sok készülékről és eszközről származó naplógyűjtést mostantól támogatja a Common Event Format (CEF) az AMA-n, a Syslogon keresztül az AMA-n vagy az egyéni naplókon keresztül a Microsoft Sentinel AMA-adatösszekötőn keresztül. További információért lásd: A Microsoft Sentinel-adatösszekötő megkeresése.
A Symantec ProxySG segítségével egyszerűen csatlakoztathatja Symantec ProxySG-naplóit a Microsoft Sentinelhez, megtekintheti az irányítópultokat, egyéni riasztásokat hozhat létre, és javíthatja a vizsgálatokat. A Symantec ProxySG és a Microsoft Sentinel integrálása nagyobb betekintést nyújt a szervezet hálózati proxy forgalmába, és növeli a biztonsági figyelési képességeket.
Ez automatikusan létrehozott tartalom. A módosításokért forduljon a megoldásszolgáltatóhoz.
Összekötő attribútumai
Összekötő attribútum | Leírás |
---|---|
Log Analytics-tábla(ok) | Syslog (SymantecProxySG) |
Adatgyűjtési szabályok támogatása | Munkaterület-átalakítás – DCR |
Támogatja: | Microsoft Corporation |
Példák lekérdezésekre
A 10 legjobb megtagadott felhasználó
SymantecProxySG
| where sc_filter_result == 'DENIED'
| summarize count() by cs_userdn
| top 10 by count_
Az első 10 elutasított ügyfél IP-cím
SymantecProxySG
| where sc_filter_result == 'DENIED'
| summarize count() by c_ip
| top 10 by count_
Előfeltételek
Az [Elavult] Symantec ProxySG-vel való integráláshoz győződjön meg arról, hogy a következőkkel rendelkezik:
- Symantec ProxySG: konfigurálva kell lennie a naplók Syslogon keresztüli exportálásához
Szállító telepítési útmutatója
Feljegyzés
Ez az adatösszekötő egy Kusto-függvényen alapuló elemzőtől függ, amely a megoldás részeként üzembe helyezett elvárt módon működik. A Log Analytics függvénykódjának megtekintéséhez nyissa meg a Log Analytics/Microsoft Sentinel Naplók panelt, kattintson a Functions elemre, és keresse meg a Symantec Proxy SG aliast, és töltse be a függvénykódot, vagy kattintson ide, a lekérdezés második sorában adja meg a Symantec Proxy SG-eszköz(ek) állomásnevét és a naplóstream egyéb egyedi azonosítóit. A függvény aktiválása általában 10–15 percet vesz igénybe a megoldás telepítése/frissítése után.
- Az ügynök telepítése és előkészítése Linuxhoz
Az ügynököt általában egy másik számítógépre kell telepítenie, mint amelyiken a naplók létrejönnek.
A syslog-naplók csak Linux-ügynököktől gyűjthetők.
- A gyűjtendő naplók konfigurálása
Konfigurálja a gyűjtendő létesítményeket és azok súlyosságát.
A munkaterület speciális beállításainak konfigurációja területen válassza az Adatok , majd a Syslog lehetőséget.
Válassza az Alábbi konfiguráció alkalmazása a gépeimre lehetőséget, és válassza ki a létesítményeket és súlyosságokat.
Kattintson a Mentés gombra.
A Symantec ProxySG konfigurálása és csatlakoztatása
Jelentkezzen be a Kék kabát felügyeleti konzolra.
Válassza ki a konfigurációs > hozzáférés naplózási > formátumát.
Válassza az Új lehetőséget.
Adjon meg egy egyedi nevet a Név formázása mezőben.
Kattintson az Egyéni formázási sztring választó gombjára, és illessze be a következő sztringet a mezőbe.
1 $(date) $(time) $(time-taken) $(c-ip) $(cs-userdn) $(cs-auth-groups) $(x-exception-id) $(sc-filter-result) $(cs-categories) $(quot)$(cs(Referer))$(quot) $(sc-status) $(s-action) $(cs-method) $(quot)$(rs(Content-Type))$(quot) $(cs-uri-scheme) $(cs-host) $(cs-uri-port) $(cs-uri-path) $(cs-uri-query) $(cs-uri-extension) $(quot)$(cs(User-Agent))$(quot) $(s-ip) $(sr-bytes) $(rs-bytes) $(x-virus-id) $(x-bluecoat-application-name) $(x-bluecoat-application-operation) $(cs-uri-port) $(x-cs-client-ip-country) $(cs-threat-risk)
Következő lépések
További információ: a kapcsolódó megoldás az Azure Marketplace-en.