Microsoft Sentinel 用 ISC Bind コネクタ
ISC Bind コネクタを使用すると、ISC Bind ログを Microsoft Sentinel に簡単に接続できます。 これにより、組織のネットワーク トラフィック データ、DNS クエリ データ、トラフィック統計に関するより詳細な分析情報が得られ、セキュリティ運用機能が向上します。
これは自動生成されたコンテンツです。 変更については、ソリューション プロバイダーにお問い合わせください。
コネクタの属性
| コネクタ属性 | 説明 |
|---|---|
| Log Analytics テーブル | Syslog (ISCBind) |
| データ収集ルールのサポート | ワークスペース変換 DCR |
| サポートしているもの | Microsoft Corporation |
クエリのサンプル
上位 10 件のクエリされたドメイン
ISCBind
| where EventSubType == "request"
| summarize count() by DnsQuery
| top 10 by count_
上位 10 件の送信元 IP アドレス別クライアント
ISCBind
| where EventSubType == "request"
| summarize count() by SrcIpAddr
| top 10 by count_
前提条件
ISC Bind と統合するには、次のことを確認してください。
- ISC Bind: Syslog を使用してログをエクスポートするように構成する必要があります。
ベンダーのインストール手順
注: このデータ コネクタは、ソリューションの一部としてデプロイされている Kusto 関数に基づくパーサーを利用して正常に動作します。 Log Analytics の関数コードを表示するには、[Log Analytics] の [Microsoft Sentinel ログ] ブレードを開き、[関数] をクリックしてエイリアス ISCBind を検索し、関数コードを読み込むか、こちらをクリックします。通常、ソリューションのインストールまたは更新後、関数がアクティブ化されるまでに 10 分から 15 分かかります。
- Linux 用エージェントをインストールおよびオンボードする
一般的に、エージェントは、ログが生成されるコンピューターとは別のコンピューターにインストールする必要があります。
Syslog ログは Linux エージェントからのみ収集されます。
- 収集するログを構成する
収集するファシリティとその重要度を構成します。
ワークスペースの詳細設定の [構成] で、[データ] を選択し、[Syslog] を選択します。
[下の構成をコンピューターに適用する] を選択し、ファシリティと重要度を選択します。
[保存] をクリックします。
ISC Bind を構成して接続する
こちらの指示に従って、Syslog を転送するように ISC Bind を構成します。
- Syslog トラフィックをエージェントに送信するように Syslog を構成します。 Linux エージェントがインストールされている Linux デバイスの IP アドレスまたはホスト名を接続先 IP アドレスとして使用します。
次の手順
詳細については、Azure Marketplace の関連ソリューションに関するページを参照してください。