[非推奨]Microsoft Sentinel 用 McAfee ePolicy Orchestrator (ePO) コネクタ
重要
多くのアプライアンスおよびデバイスからのログ収集が、AMA 経由の Common Event Format (CEF)、AMA 経由の Syslog、または Microsoft Sentinel の AMA データ コネクタ経由のカスタム ログでサポートされるようになりました。 詳細については、「Microsoft Sentinel データ コネクタを見つける」を参照してください。
McAfee ePolicy Orchestrator データ コネクタは、Syslog 経由で McAfee ePO イベントを Microsoft Sentinel に取り込む機能を提供します。 詳細については、ドキュメントを参照してください。
これは自動生成されたコンテンツです。 変更については、ソリューション プロバイダーにお問い合わせください。
コネクタの属性
| コネクタ属性 | 説明 |
|---|---|
| Kusto 関数エイリアス | McAfeeEPOEvent |
| Kusto 関数 URL | https://aka.ms/sentinel-McAfeeePO-parser |
| Log Analytics テーブル | Syslog(McAfeeePO) |
| データ収集ルールのサポート | ワークスペース変換 DCR |
| サポートしているもの | Microsoft Corporation |
クエリのサンプル
上位 10 件のソース
McAfeeEPOEvent
| summarize count() by DvcHostname
| top 10 by count_
ベンダーのインストール手順
このデータ コネクタが予期するとおりに機能するかどうかは、Kusto 関数に基づくパーサー (Microsoft Sentinel ソリューションに付属してデプロイされる McAfeeEPOEvent) によって決まります。
- Linux 用エージェントをインストールおよびオンボードする
一般的に、エージェントは、ログが生成されるコンピューターとは別のコンピューターにインストールする必要があります。
Syslog ログは Linux エージェントからのみ収集されます。
- 収集するログを構成する
収集するファシリティとその重要度を構成します。
ワークスペースの詳細設定の [構成] で、[データ] を選択し、[Syslog] を選択します。
[下の構成をコンピューターに適用する] を選択し、ファシリティと重要度を選択します。
[保存] をクリックします。
Syslog サーバーへの McAfee ePolicy Orchestrator イベント転送を構成する
次の手順に従って、登録 syslog サーバーを追加します。
次のステップ
詳細については、Azure Marketplace の関連ソリューションに関するページを参照してください。