[Deprecato] Connettore ESET PROTECT per Microsoft Sentinel
Importante
La raccolta di log da molti dispositivi e appliance è ora supportata da Common Event Format (CEF) tramite AMA, syslog tramite AMA o log personalizzati tramite il connettore dati AMA in Microsoft Sentinel. Per altre informazioni, vedere Trovare il connettore dati di Microsoft Sentinel.
Questo connettore raccoglie tutti gli eventi generati dal software ESET tramite la soluzione di gestione centrale ESET PROTECT (in precedenza ESET Security Management Center). Sono inclusi i rilevamenti antivirus, i rilevamenti del firewall, ma anche i rilevamenti EDR più avanzati. Per un elenco completo degli eventi, vedere la documentazione.
Questo contenuto è generato automaticamente. Per modifiche, contattare il provider di soluzioni.
Attributi connettore
| Attributo connettore | Descrizione |
|---|---|
| Tabelle Log Analytics | Syslog (ESETPROTECT) |
| Supporto regole di raccolta dati | Trasformazione area di lavoro DCR |
| Supportata da: | ESET Paesi Bassi |
Esempi di query
Eventi di minaccia ESET
ESETPROTECT
| where EventType == 'Threat_Event'
| sort by TimeGenerated desc
Prime 10 minacce rilevate
ESETPROTECT
| where EventType == 'Threat_Event'
| summarize ThreatCount = count() by tostring(ThreatName)
| top 10 by ThreatCount
Eventi del firewall ESET
ESETPROTECT
| where EventType == 'FirewallAggregated_Event'
| sort by TimeGenerated desc
Eventi di minaccia ESET
ESETPROTECT
| where EventType == 'Threat_Event'
| sort by TimeGenerated desc
Eventi di minaccia ESET dalla protezione del file system in tempo reale
ESETPROTECT
| where EventType == 'Threat_Event'
| where ScanId == 'Real-time file system protection'
| sort by TimeGenerated desc
Eseguire query sugli eventi di minaccia ESET dallo scanner su richiesta
ESETPROTECT
| where EventType == 'Threat_Event'
| where ScanId == 'On-demand scanner'
| sort by TimeGenerated desc
Host principali per numero di eventi di minaccia
ESETPROTECT
| where EventType == 'Threat_Event'
| summarize threat_events_count = count() by HostName
| sort by threat_events_count desc
Filtro siti Web ESET
ESETPROTECT
| where EventType == 'FilteredWebsites_Event'
| sort by TimeGenerated desc
Eventi di controllo ESET
ESETPROTECT
| where EventType == 'Audit_Event'
| sort by TimeGenerated desc
Istruzioni per l’installazione di Vendor
NOTA: per funzionare come previsto questo connettore dati dipende da un parser basato su una funzione Kusto, che viene distribuito come parte della soluzione. Per visualizzare il codice della funzione in Log Analytics, aprire il pannello Log Analytics/Log di Microsoft Sentinel, fare clic su Funzioni e cercare l'alias ESETPROTECT e caricare il codice della funzione oppure fare clic qui. La funzione richiede in genere 10-15 minuti per l'attivazione dopo l'installazione/aggiornamento della soluzione.
- Installare e caricare l'agente per Linux
È in genere consigliabile installare l'agente in un computer diverso rispetto a quello in cui vengono generati i log.
I log syslog vengono raccolti solo dagli agenti Linux.
- Configurare i log da raccogliere
È possibile configurare le strutture da raccogliere e le rispettive gravità.
In Configurazione delle impostazioni avanzate dell'area di lavoro selezionare Dati e quindi Syslog.
Selezionare Applica la configurazione seguente alle macchine virtuali e quindi selezionare le strutture e le gravità. La funzionalità ESET PROTECT predefinita è l'utente.
Fare clic su Salva.
Configurare ESET PROTECT
Configurare ESET PROTECT per inviare tutti gli eventi tramite Syslog.
Seguire queste istruzioni per configurare l'output syslog. Assicurarsi di selezionare BSD come formato e TCP come trasporto.
Seguire queste istruzioni per esportare tutti i log in syslog. Selezionare JSON come formato di output.
Nota: fare riferimento alla documentazione per configurare il server d'inoltro dei log per l'archiviazione locale e cloud.
Passaggi successivi
Per altre informazioni, visitare la soluzione correlata in Azure Marketplace.