Connettore ESET PROTECT per Microsoft Sentinel
Questo connettore raccoglie tutti gli eventi generati dal software ESET tramite la soluzione di gestione centrale ESET PROTECT (in precedenza ESET Security Management Center). Ciò include rilevamenti anti-virus, rilevamenti del firewall, ma anche rilevamenti EDR più avanzati. Per un elenco completo degli eventi, vedere la documentazione.
Attributi del connettore
Attributo del connettore | Descrizione |
---|---|
Tabelle log Analytics | Syslog (ESETPROTECT) |
Supporto delle regole di raccolta dati | Trasformazione dell'area di lavoro DCR |
Supportato da | ESET Paesi Bassi |
Esempi di query
Eventi di minaccia ESET
ESETPROTECT
| where EventType == 'Threat_Event'
| sort by TimeGenerated desc
Primi 10 minacce rilevate
ESETPROTECT
| where EventType == 'Threat_Event'
| summarize ThreatCount = count() by tostring(ThreatName)
| top 10 by ThreatCount
Eventi del firewall ESET
ESETPROTECT
| where EventType == 'FirewallAggregated_Event'
| sort by TimeGenerated desc
Eventi di minaccia ESET
ESETPROTECT
| where EventType == 'Threat_Event'
| sort by TimeGenerated desc
Eventi di minaccia ESET dalla protezione del file system in tempo reale
ESETPROTECT
| where EventType == 'Threat_Event'
| where ScanId == 'Real-time file system protection'
| sort by TimeGenerated desc
Eseguire query sugli eventi di minaccia ESET dallo scanner on demand
ESETPROTECT
| where EventType == 'Threat_Event'
| where ScanId == 'On-demand scanner'
| sort by TimeGenerated desc
Host principali per numero di eventi di minaccia
ESETPROTECT
| where EventType == 'Threat_Event'
| summarize threat_events_count = count() by HostName
| sort by threat_events_count desc
Filtro siti Web ESET
ESETPROTECT
| where EventType == 'FilteredWebsites_Event'
| sort by TimeGenerated desc
Eventi di controllo ESET
ESETPROTECT
| where EventType == 'Audit_Event'
| sort by TimeGenerated desc
Istruzioni per l'installazione del fornitore
NOTA: Questo connettore dati dipende da un parser basato su una funzione Kusto per funzionare come previsto che viene distribuito come parte della soluzione. Per visualizzare il codice della funzione in Log Analytics, aprire il pannello Log Analytics/Microsoft Sentinel Logs, fare clic su Funzioni e cercare l'alias ESETPROTECT e caricare il codice della funzione o fare clic qui. La funzione richiede in genere 10-15 minuti per attivare dopo l'installazione/aggiornamento della soluzione.
- Installare ed eseguire l'onboarding dell'agente per Linux
In genere, è necessario installare l'agente in un computer diverso da quello in cui vengono generati i log.
I log syslog vengono raccolti solo dagli agenti Linux .
- Configurare i log da raccogliere
Configurare le strutture che si desidera raccogliere e le relative gravità.
In Configurazione impostazioni avanzate dell'area di lavoro selezionare Dati e quindi Syslog.
Selezionare Applica la configurazione seguente ai computer e selezionare le strutture e le gravità. La struttura ESET PROTECT predefinita è utente.
Fare clic su Save (Salva).
Configurare ESET PROTECT
Configurare ESET PROTECT per inviare tutti gli eventi tramite Syslog.
Seguire queste istruzioni per configurare l'output syslog. Assicurarsi di selezionare BSD come formato e TCP come trasporto.
Seguire queste istruzioni per esportare tutti i log in syslog. Selezionare JSON come formato di output.
Nota: fare riferimento alla documentazione per configurare l'inoltro dei log sia per l'archiviazione locale che per l'archiviazione cloud.
Passaggi successivi
Per altre informazioni, passare alla soluzione correlata nel Azure Marketplace.