Microsoft Sentinel 用 ESET PROTECT コネクタ

  • [アーティクル]

このコネクタは、中央管理ソリューション ESET PROTECT (旧称 ESET Security Management Center) を通じて、ESET ソフトウェアによって生成されたすべてのイベントを収集します。 これには、ウイルス対策の検出、ファイアウォールの検出だけでなく、より高度な EDR の検出も含まれます。 すべてのイベントの一覧については、ドキュメントをご覧ください。

コネクタの属性

コネクタ属性 説明
Log Analytics テーブル Syslog (ESETPROTECT)
データ収集ルールのサポート ワークスペース変換 DCR
サポートしているもの ESET Netherlands

クエリのサンプル

ESET 脅威イベント

ESETPROTECT

| where EventType == 'Threat_Event'

| sort by TimeGenerated desc

上位 10 件の検出された脅威

ESETPROTECT

| where EventType == 'Threat_Event'

| summarize ThreatCount = count() by tostring(ThreatName)

| top 10 by ThreatCount

ESET ファイアウォール イベント

ESETPROTECT

| where EventType == 'FirewallAggregated_Event'

| sort by TimeGenerated desc

ESET 脅威イベント

ESETPROTECT

| where EventType == 'Threat_Event'

| sort by TimeGenerated desc

リアルタイム ファイル システム保護からの ESET 脅威イベント

ESETPROTECT

| where EventType == 'Threat_Event'

| where ScanId == 'Real-time file system protection'

| sort by TimeGenerated desc

オンデマンド スキャナーからの ESET 脅威イベントのクエリ

ESETPROTECT

| where EventType == 'Threat_Event'

| where ScanId == 'On-demand scanner'

| sort by TimeGenerated desc

脅威イベント数別の上位のホスト

ESETPROTECT

| where EventType == 'Threat_Event'

| summarize threat_events_count = count() by HostName

| sort by threat_events_count desc

ESET Web サイト フィルター

ESETPROTECT

| where EventType == 'FilteredWebsites_Event'

| sort by TimeGenerated desc

ESET 監査イベント

ESETPROTECT

| where EventType == 'Audit_Event'

| sort by TimeGenerated desc

ベンダーのインストール手順

注: このデータ コネクタは、ソリューションの一部としてデプロイされている Kusto 関数に基づくパーサーを利用して正常に動作します。 Log Analytics の関数コードを表示するには、[Log Analytics/Microsoft Sentinel Logs](Log Analytics/Microsoft Sentinel ログ) ブレードを開き、[関数] をクリックしてエイリアス ESETPROTECT を検索し、関数コードを読み込むか、こちらをクリックします。通常、ソリューションのインストールまたは更新後、関数がアクティブ化されるまでに 10 分から 15 分かかります。

  1. Linux 用エージェントをインストールおよびオンボードする

一般的に、エージェントは、ログが生成されるコンピューターとは別のコンピューターにインストールする必要があります。

Syslog ログは Linux エージェントからのみ収集されます。

  1. 収集するログを構成する

収集するファシリティとその重要度を構成します。

  1. ワークスペースの詳細設定の [構成] で、[データ] を選択し、[Syslog] を選択します。

  2. [下の構成をコンピューターに適用する] を選択し、ファシリティと重要度を選択します。 既定の ESET PROTECT ファシリティはユーザーです。

  3. [保存] をクリックします。

  4. ESET PROTECT を構成します

すべてのイベントを Syslog 経由で送信するように、ESET PROTECT を構成します。

  1. Syslog の出力を構成するには、こちらの手順のようにします。 形式として BSD を選び、トランスポートとして TCP を選びます。

  2. こちらの手順のようにして、すべてのログを Syslog にエクスポートします。 出力形式として JSON を選びます。

注: ローカル ストレージとクラウド ストレージの両方にログ フォワーダーを設定する方法に関するドキュメントを参照してください。

次のステップ

詳細については、Azure Marketplace の関連ソリューションに関するページを参照してください。