[非推奨]Microsoft Sentinel 用 ESET PROTECT コネクタ
重要
多くのアプライアンスおよびデバイスからのログ収集が、AMA 経由の Common Event Format (CEF)、AMA 経由の Syslog、または Microsoft Sentinel の AMA データ コネクタ経由のカスタム ログでサポートされるようになりました。 詳細については、「Microsoft Sentinel データ コネクタを見つける」を参照してください。
このコネクタは、中央管理ソリューション ESET PROTECT (旧称 ESET Security Management Center) を通じて、ESET ソフトウェアによって生成されたすべてのイベントを収集します。 これには、ウイルス対策の検出、ファイアウォールの検出だけでなく、より高度な EDR の検出も含まれます。 すべてのイベントの一覧については、ドキュメントをご覧ください。
これは自動生成されたコンテンツです。 変更については、ソリューション プロバイダーにお問い合わせください。
コネクタの属性
コネクタ属性 | 説明 |
---|---|
Log Analytics テーブル | Syslog (ESETPROTECT) |
データ収集ルールのサポート | ワークスペース変換 DCR |
サポートしているもの | ESET Netherlands |
クエリのサンプル
ESET 脅威イベント
ESETPROTECT
| where EventType == 'Threat_Event'
| sort by TimeGenerated desc
上位 10 件の検出された脅威
ESETPROTECT
| where EventType == 'Threat_Event'
| summarize ThreatCount = count() by tostring(ThreatName)
| top 10 by ThreatCount
ESET ファイアウォール イベント
ESETPROTECT
| where EventType == 'FirewallAggregated_Event'
| sort by TimeGenerated desc
ESET 脅威イベント
ESETPROTECT
| where EventType == 'Threat_Event'
| sort by TimeGenerated desc
リアルタイム ファイル システム保護からの ESET 脅威イベント
ESETPROTECT
| where EventType == 'Threat_Event'
| where ScanId == 'Real-time file system protection'
| sort by TimeGenerated desc
オンデマンド スキャナーからの ESET 脅威イベントのクエリ
ESETPROTECT
| where EventType == 'Threat_Event'
| where ScanId == 'On-demand scanner'
| sort by TimeGenerated desc
脅威イベント数別の上位のホスト
ESETPROTECT
| where EventType == 'Threat_Event'
| summarize threat_events_count = count() by HostName
| sort by threat_events_count desc
ESET Web サイト フィルター
ESETPROTECT
| where EventType == 'FilteredWebsites_Event'
| sort by TimeGenerated desc
ESET 監査イベント
ESETPROTECT
| where EventType == 'Audit_Event'
| sort by TimeGenerated desc
ベンダーのインストール手順
注: このデータ コネクタは、ソリューションの一部としてデプロイされている Kusto 関数に基づくパーサーを利用して正常に動作します。 Log Analytics の関数コードを表示するには、[Log Analytics/Microsoft Sentinel Logs](Log Analytics/Microsoft Sentinel ログ) ブレードを開き、[関数] をクリックしてエイリアス ESETPROTECT を検索し、関数コードを読み込むか、こちらをクリックします。通常、ソリューションのインストールまたは更新後、関数がアクティブ化されるまでに 10 分から 15 分かかります。
- Linux 用エージェントをインストールおよびオンボードする
一般的に、エージェントは、ログが生成されるコンピューターとは別のコンピューターにインストールする必要があります。
Syslog ログは Linux エージェントからのみ収集されます。
- 収集するログを構成する
収集するファシリティとその重要度を構成します。
ワークスペースの詳細設定の [構成] で、[データ] を選択し、[Syslog] を選択します。
[下の構成をコンピューターに適用する] を選択し、ファシリティと重要度を選択します。 既定の ESET PROTECT ファシリティはユーザーです。
[保存] をクリックします。
ESET PROTECT を構成します
すべてのイベントを Syslog 経由で送信するように、ESET PROTECT を構成します。
Syslog の出力を構成するには、こちらの手順のようにします。 形式として BSD を選び、トランスポートとして TCP を選びます。
こちらの手順のようにして、すべてのログを Syslog にエクスポートします。 出力形式として JSON を選びます。
注: ローカル ストレージとクラウド ストレージの両方にログ フォワーダーを設定する方法に関するドキュメントを参照してください。
次のステップ
詳細については、Azure Marketplace の関連ソリューションに関するページを参照してください。