Connettore Di prevenzione della perdita dei dati di Sorveglianza digitale per Microsoft Sentinel
Il connettore dati DLP (Digital Guardian Data Loss Prevention) offre la possibilità di inserire i log DLP di Sorveglianza digitale in Microsoft Sentinel.
Attributi del connettore
Attributo del connettore | Descrizione |
---|---|
Tabelle di Log Analytics | Syslog (DigitalGuardianDLPEvent) |
Supporto delle regole di raccolta dati | Trasformazione dell'area di lavoro DCR |
Supportato da | Microsoft Corporation |
Esempi di query
Primi 10 client (IP di origine)
DigitalGuardianDLPEvent
| where notempty(SrcIpAddr)
| summarize count() by SrcIpAddr
| top 10 by count_
Istruzioni di installazione fornitore
Nota
Questo connettore dati dipende da un parser basato su una funzione Kusto per funzionare come previsto DigitalGuardianDLPEvent distribuito con la soluzione Microsoft Sentinel.
- Configurare Digital Guardian per inoltrare i log tramite Syslog al server remoto in cui verrà installato l'agente.
Seguire questa procedura per configurare Digital Guardian per inoltrare i log tramite Syslog:
1.1. Accedere alla Console di gestione di Digital Guardian.
1.2. SelezionareEsportazione> dati area di lavoro>Crea esportazione.
1.3. Nell'elenco Origini dati selezionare Avvisi o eventi come origine dati.
1.4. Nell'elenco Tipo di esportazione selezionare Syslog.
1.5. Nell'elenco Tipo selezionare UDP o TCP come protocollo di trasporto.
1.6. Nel campo Server digitare l'indirizzo IP del server Syslog remoto.
1.7. Nel campo Porta digitare 514 (o altra porta se il server Syslog è stato configurato per l'uso della porta non predefinita).
1.8. Nell'elenco Livello di gravità selezionare un livello di gravità.
1.9. Selezionare la casella di controllo Is Active (Attivo ).
1.9. Fare clic su Avanti.
1.10. Nell'elenco dei campi disponibili aggiungere i campi Avviso o Evento per l'esportazione dei dati.
1.11. Selezionare un criterio per i campi nell'esportazione dei dati e fare clic su Avanti.
1.12. Selezionare un gruppo per i criteri e fare clic su Avanti.
1.13. Fare clic su Test query.
1.14. Fare clic su Avanti.
1.15. Salvare l'esportazione dei dati.
- Installare ed eseguire l'onboarding dell'agente per Linux o Windows
Installare l'agente nel server in cui verranno inoltrati i log.
I log nei server Linux o Windows vengono raccolti dagli agenti Linux o Windows .
- Controllare i log in Microsoft Sentinel
Aprire Log Analytics per verificare se i log vengono ricevuti usando lo schema Syslog.
NOTA: Potrebbero essere necessari fino a 15 minuti prima che i nuovi log vengano visualizzati nella tabella Syslog.
Passaggi successivi
Per altre informazioni, vedere la soluzione correlata nel Azure Marketplace.