次の方法で共有


[非推奨]Microsoft Sentinel 用 Blackberry CylancePROTECT コネクタ

重要

多くのアプライアンスおよびデバイスからのログ収集が、AMA 経由の Common Event Format (CEF)、AMA 経由の Syslog、または Microsoft Sentinel の AMA データ コネクタ経由のカスタム ログでサポートされるようになりました。 詳細については、「Microsoft Sentinel データ コネクタを見つける」を参照してください。

Blackberry CylancePROTECT コネクタを使用すると、CylancePROTECT ログを Microsoft Sentinel に簡単に接続できます。 これにより、組織のネットワークに関するより詳細な分析情報が得られ、セキュリティ運用機能が向上します。

これは自動生成されたコンテンツです。 変更については、ソリューション プロバイダーにお問い合わせください。

コネクタの属性

コネクタ属性 説明
Log Analytics テーブル Syslog (CylancePROTECT)
データ収集ルールのサポート ワークスペース変換 DCR
サポートしているもの Microsoft Corporation

クエリのサンプル

上位 10 個のイベントの種類

CylancePROTECT​
         
| summarize count() by EventName
         
| top 10 by count_

上位 10 個のトリガーされたポリシー

CylancePROTECT​
         
| where EventType == "Threat" 
         
| summarize count() by PolicyName 
         
| top 10 by count_

前提条件

Blackberry CylancePROTECT と統合するには、次のことを確認してください。

  • CylancePROTECT: Syslog を使用してログをエクスポートするように構成する必要があります。

ベンダーのインストール手順

注意

このデータ コネクタは、ソリューションの一部としてデプロイされている Kusto 関数に基づくパーサーを利用して正常に動作します。 Log Analytics で関数コードを表示するには、[Log Analytics/Microsoft Sentinel ログ] ブレードを開き、[関数] をクリックし、エイリアス CyclanePROTECT を検索して関数コードを読み込みます。または、ここをクリックします。クエリの 2 行目で、CyclanePROTECT デバイスのホスト名とログストリームの他の一意の識別子を入力します。 この関数は、通常、ソリューションのインストール/更新後にアクティブ化されるまでに 10 から 15 分かかります。

  1. Linux 用エージェントをインストールおよびオンボードする

一般的に、エージェントは、ログが生成されるコンピューターとは別のコンピューターにインストールする必要があります。

Syslog ログは Linux エージェントからのみ収集されます。

  1. 収集するログを構成する

収集するファシリティとその重要度を構成します。

  1. 以下のリンクを選択してワークスペースの [エージェント構成] を開き、[Syslog] タブを選択します。

  2. [Add facility](ファシリティの追加) を選択し、ファシリティのドロップダウン リストから選択します。 追加するすべてのファシリティに対して繰り返します。

  3. 各ファシリティの必要な重大度のチェック ボックスをオンにします。

  4. [適用] をクリックします。

  5. CylancePROTECT を構成して接続する

こちらの指示に従って、Syslog を転送するように CylancePROTECT を構成します。 Linux エージェントがインストールされている Linux デバイスの IP アドレスまたはホスト名を接続先 IP アドレスとして使用します。

次の手順

詳細については、Azure Marketplace の関連ソリューションに関するページを参照してください。