次の方法で共有


[非推奨]Microsoft Sentinel 用 ISC バインド コネクタ

重要

多くのアプライアンスおよびデバイスからのログ収集が、AMA 経由の Common Event Format (CEF)、AMA 経由の Syslog、または Microsoft Sentinel の AMA データ コネクタ経由のカスタム ログでサポートされるようになりました。 詳細については、「Microsoft Sentinel データ コネクタを見つける」を参照してください。

ISC Bind コネクタを使用すると、ISC Bind ログを Microsoft Sentinel に簡単に接続できます。 これにより、組織のネットワーク トラフィック データ、DNS クエリ データ、トラフィック統計に関するより詳細な分析情報が得られ、セキュリティ運用機能が向上します。

これは自動生成されたコンテンツです。 変更については、ソリューション プロバイダーにお問い合わせください。

コネクタの属性

コネクタ属性 説明
Log Analytics テーブル Syslog (ISCBind)
データ収集ルールのサポート ワークスペース変換 DCR
サポートしているもの Microsoft Corporation

クエリのサンプル

上位 10 件のクエリされたドメイン

ISCBind 

| where EventSubType == "request" 

| summarize count() by DnsQuery 

| top 10 by count_

上位 10 件の送信元 IP アドレス別クライアント

ISCBind 

| where EventSubType == "request" 

| summarize count() by SrcIpAddr 

| top 10 by count_

前提条件

[非推奨] ISC バインドと統合するには、次の機能があることを確認します。

  • ISC Bind: Syslog を使用してログをエクスポートするように構成する必要があります。

ベンダーのインストール手順

注: このデータ コネクタは、ソリューションの一部としてデプロイされている Kusto 関数に基づくパーサーを利用して正常に動作します。 Log Analytics の関数コードを表示するには、[Log Analytics] の [Microsoft Sentinel ログ] ブレードを開き、[関数] をクリックしてエイリアス ISCBind を検索し、関数コードを読み込むか、こちらをクリックします。通常、ソリューションのインストールまたは更新後、関数がアクティブ化されるまでに 10 分から 15 分かかります。

  1. Linux 用エージェントをインストールおよびオンボードする

一般的に、エージェントは、ログが生成されるコンピューターとは別のコンピューターにインストールする必要があります。

Syslog ログは Linux エージェントからのみ収集されます。

  1. 収集するログを構成する

収集するファシリティとその重要度を構成します。

  1. ワークスペースの詳細設定の [構成] で、[データ] を選択し、[Syslog] を選択します。

  2. [下の構成をコンピューターに適用する] を選択し、ファシリティと重要度を選択します。

  3. [保存] をクリックします。

  4. ISC Bind を構成して接続する

  5. こちらの指示に従って、Syslog を転送するように ISC Bind を構成します。

  1. Syslog トラフィックをエージェントに送信するように Syslog を構成します。 Linux エージェントがインストールされている Linux デバイスの IP アドレスまたはホスト名を接続先 IP アドレスとして使用します。

次の手順

詳細については、Azure Marketplace の関連ソリューションに関するページを参照してください。