Connettore McAfee ePolicy Orchestrator (ePO) per Microsoft Sentinel
Il connettore dati McAfee ePolicy Orchestrator offre la possibilità di inserire eventi McAfee ePO in Microsoft Sentinel tramite syslog.
attributi Connessione or
| Attributo Connessione or | Descrizione |
|---|---|
| Alias della funzione Kusto | McAfeeEPOEvent |
| URL della funzione Kusto | https://aka.ms/sentinel-McAfeeePO-parser |
| Tabelle di Log Analytics | Syslog(McAfeeePO) |
| Supporto delle regole di raccolta dati | Trasformazione dell'area di lavoro DCR |
| Supportato da | Microsoft Corporation |
Esempi di query
Prime 10 origini
McAfeeEPOEvent
| summarize count() by DvcHostname
| top 10 by count_
Istruzioni di installazione fornitore
Questo connettore dati dipende da un parser basato su una funzione Kusto per funzionare come previsto McAfeeEPOEvent distribuito con la soluzione Microsoft Sentinel.
- Installare ed eseguire l'onboarding dell'agente per Linux
È in genere consigliabile installare l'agente in un computer diverso rispetto a quello in cui vengono generati i log.
I log syslog vengono raccolti solo dagli agenti Linux .
- Configurare i log da raccogliere
È possibile configurare le strutture da raccogliere e le rispettive gravità.
- In Configurazione delle impostazioni avanzate dell'area di lavoro selezionare Dati e quindi Syslog.
- Selezionare Applica la configurazione seguente ai computer e selezionare le funzionalità e i livelli di gravità.
- Fare clic su Salva.
Passaggi successivi
Per altre informazioni, vedere la soluzione correlata in Azure Marketplace.