Connettore Forescout per Microsoft Sentinel
Il connettore dati Forescout offre la possibilità di inserire eventi Forescout in Microsoft Sentinel. Per altre informazioni, vedere la documentazione di Forescout .
Attributi del connettore
Attributo del connettore | Descrizione |
---|---|
Tabelle log Analytics | Syslog(ForescoutEvent) |
Supporto delle regole di raccolta dati | Trasformazione dell'area di lavoro DCR |
Supportato da | Microsoft Corporation |
Esempi di query
Primi 10 origini
ForescoutEvent
| summarize count() by tostring(SrcIpAddr)
| top 10 by count_
Istruzioni per l'installazione del fornitore
Nota
Questo connettore dati dipende da un parser basato su una funzione Kusto per funzionare come previsto ForescoutEvent che viene distribuito con la soluzione Microsoft Sentinel.
Nota
Questo connettore dati è stato sviluppato con Forescout Syslog Plug-in versione: v3.6
- Installare e eseguire l'onboarding dell'agente per Linux o Windows
Installare l'agente nel server in cui vengono inoltrati i log Forescout.
I log da Forescout Server distribuiti in server Linux o Windows vengono raccolti dagli agenti Linux o Windows .
- Configurare i log da raccogliere
Configurare le strutture che si desidera raccogliere e le relative gravità.
In Configurazione impostazioni avanzate dell'area di lavoro selezionare Dati e quindi Syslog.
Selezionare Applica la configurazione seguente ai computer e selezionare le strutture e le gravità.
Fare clic su Save (Salva).
Configurare l'inoltro degli eventi Forescout
Seguire la procedura di configurazione seguente per ottenere i log forescout in Microsoft Sentinel.
- Selezionare un'appliance da configurare.
- Seguire queste istruzioni per inoltrare avvisi dalla piattaforma Forescout a un server syslog.
- Configurare le impostazioni nella scheda Trigger Syslog.
Passaggi successivi
Per altre informazioni, passare alla soluzione correlata nel Azure Marketplace.