Condividi tramite

[Deprecato] Connettore McAfee Network Security Platform per Microsoft Sentinel

  • Articolo

Importante

La raccolta di log da molti dispositivi e appliance è ora supportata da Common Event Format (CEF) tramite AMA, syslog tramite AMA o log personalizzati tramite il connettore dati AMA in Microsoft Sentinel. Per altre informazioni, vedere Trovare il connettore dati di Microsoft Sentinel.

Il connettore dati McAfee® Network Security Platform offre la possibilità di inserire gli eventi di McAfee® Network Security Platform in Microsoft Sentinel. Per altre informazioni, vedere McAfee® Network Security Platform.

Questo contenuto è generato automaticamente. Per modifiche, contattare il provider di soluzioni.

Attributi connettore

Attributo connettore Descrizione
Tabelle Log Analytics Syslog (McAfeeNSPEvent)
Supporto regole di raccolta dati Trasformazione area di lavoro DCR
Supportata da: Microsoft Corporation

Esempi di query

Prime 10 origini

McAfeeNSPEvent

| summarize count() by tostring(DvcHostname)

| top 10 by count_

Istruzioni per l’installazione di Vendor

Nota

Questo connettore dati dipende da un parser basato su una funzione Kusto per funzionare come previsto McAfeeNSPEvent distribuito con la soluzione Microsoft Sentinel.

Nota

Questo connettore dati è stato sviluppato con McAfee® Network Security Platform versione: 10.1.x

  1. Installare ed eseguire l'onboarding dell'agente per Linux o Windows

Installare l'agente nel server in cui vengono inoltrati i log di McAfee® Network Security Platform.

I log da McAfee® Network Security Platform Server distribuiti in server Linux o Windows vengono raccolti dagli agenti Linux o Windows .

  1. Configurare l'inoltro degli eventi di McAfee® Network Security Platform

Seguire la procedura di configurazione seguente per ottenere i log di McAfee® Network Security Platform in Microsoft Sentinel.

  1. Seguire queste istruzioni per inoltrare avvisi da Manager a un server syslog.
  2. Aggiungere un profilo di notifica syslog, altri dettagli qui. Questo criterio è obbligatorio. Durante la creazione del profilo, per assicurarsi che gli eventi siano formattati correttamente, immettere il testo seguente nella casella di testo Messaggio: :|SENSOR_ALERT_UUID|ALERT_TYPE|ATTACK_TIME|ATTACK_NAME|ATTACK_ID |ATTACK_SEVERITY|ATTACK_SIGNATURE|ATTACK_CONFIDENCE|ADMIN_DOMAIN|SENSOR_NAME|INTERFACE |SOURCE_IP|SOURCE_PORT|DESTINATION_IP|DESTINATION_PORT|CATEGORY |SUB_CATEGORY |DIRECTION |RESULT_STATUS|DETECTION_MECHANISM|APPLICATION_PROTOCOL|NETWORK_PROTOCOL|

Passaggi successivi

Per altre informazioni, visitare la soluzione correlata in Azure Marketplace.