Connettore Symantec ProxySG per Microsoft Sentinel

  • Articolo

Symantec ProxySG consente di connettere facilmente i log di Symantec ProxySG con Microsoft Sentinel, visualizzare i dashboard, creare avvisi personalizzati e migliorare le indagini. L'integrazione di Symantec ProxySG con Microsoft Sentinel offre maggiore visibilità sul traffico proxy di rete dell'organizzazione e migliorerà le funzionalità di monitoraggio della sicurezza.

Si tratta di contenuto generato automaticamente. Per le modifiche, contattare il provider di soluzioni.

attributi Connessione or

Attributo Connessione or Descrizione
Tabelle di Log Analytics Syslog (SymantecProxySG)
Supporto delle regole di raccolta dati Trasformazione dell'area di lavoro DCR
Supportata da: Microsoft Corporation

Esempi di query

Primi 10 utenti negati

SymantecProxySG 

| where sc_filter_result == 'DENIED' 

| summarize count() by cs_userdn 

| top 10 by count_

Primi 10 indirizzi IP client negati

SymantecProxySG 

| where sc_filter_result == 'DENIED' 

| summarize count() by c_ip 

| top 10 by count_

Prerequisiti

Per eseguire l'integrazione con Symantec ProxySG, assicurarsi di avere:

  • Symantec ProxySG: deve essere configurato per esportare i log tramite Syslog

Istruzioni di installazione fornitore

Nota

Questo connettore dati dipende da un parser basato su una funzione Kusto per funzionare come previsto, che viene distribuito come parte della soluzione. Per visualizzare il codice della funzione in Log Analytics, aprire il pannello Log Analytics/Log di Microsoft Sentinel, fare clic su Funzioni e cercare l'alias Symantec Proxy SG e caricare il codice della funzione oppure fare clic qui, nella seconda riga della query, immettere i nomi host dei dispositivi Symantec Proxy SG e qualsiasi altro identificatore univoco per il logstream. La funzione richiede in genere 10-15 minuti per l'attivazione dopo l'installazione/aggiornamento della soluzione.

  1. Installare ed eseguire l'onboarding dell'agente per Linux

È in genere consigliabile installare l'agente in un computer diverso rispetto a quello in cui vengono generati i log.

I log syslog vengono raccolti solo dagli agenti Linux .

  1. Configurare i log da raccogliere

È possibile configurare le strutture da raccogliere e le rispettive gravità.

  1. In Configurazione delle impostazioni avanzate dell'area di lavoro selezionare Dati e quindi Syslog.

  2. Selezionare Applica la configurazione seguente ai computer e selezionare le funzionalità e i livelli di gravità.

  3. Fare clic su Salva.

  4. Configurare e connettere Symantec ProxySG

  5. Accedere alla Console di gestione blue coat.

  6. Selezionare Configuration Access Logging Formats (Formati di registrazione accesso alla configurazione >> ).

  7. Selezionare Nuovo.

  8. Immettere un nome univoco nel campo Formato nome.

  9. Fare clic sul pulsante di opzione per Stringa di formato personalizzata e incollare la stringa seguente nel campo.

1 $(date) $(time) $(time-taken) $(c-ip) $(cs-userdn) $(cs-auth-groups) $(x-exception-id) $(sc-filter-result) $(cs-categories) $(quot)$(cs(Referer))$(quot) $(sc-status) $(s-action) $(cs-method) $(quot)$(rs(Content-Type))$(quot) $(cs-uri-scheme) $(cs-host) $(cs-uri-port) $(cs-uri-path) $(cs-uri-query) $(cs-uri-extension) $(quot)$(cs(User-Agent))$(quot) $(s-ip) $(sr-bytes) $(rs-bytes) $(x-virus-id) $(x-bluecoat-application-name) $(x-bluecoat-application-operation) $(cs-uri-port) $(x-cs-client-ip-country) $(cs-threat-risk)

6. Fare clic sul pulsante **OK**. 7. Fare clic sul pulsante **Applica**. 8. [Seguire queste istruzioni](https://knowledge.broadcom.com/external/article/166529/sending-access-logs-to-a-syslog-server.html) per abilitare lo streaming syslog dei log **Access**. Usare l'indirizzo IP o il nome host per il dispositivo Linux con l'agente Linux installato come indirizzo IP di destinazione

Passaggi successivi

Per altre informazioni, vedere la soluzione correlata in Azure Marketplace.