Microsoft Sentinel 用 NXLog LinuxAudit コネクタ
NXLog LinuxAudit データ コネクタは、カスタム監査規則をサポートし、auditd やその他のユーザー空間のソフトウェアなしでログを収集します。 IP アドレスとグループ/ユーザー ID はそれぞれの名前に解決されるため、Linux 監査ログはセキュリティ アナリストにとって、より分かりやすくなります。 この REST API コネクタを使用すると、Linux セキュリティ イベントをリアルタイムで効率的に Microsoft Sentinel にエクスポートできます。
コネクタの属性
| コネクタ属性 | 説明 |
|---|---|
| Log Analytics テーブル | LinuxAudit_CL |
| データ収集ルールのサポート | 現在、サポートされていません |
| サポートしているもの | NXLog |
クエリのサンプル
最も頻度が高い種類
LinuxAudit_CL
| summarize EventCount = count() by type_s
| where strlen(type_s) > 1
| render barchart
最も頻度が高い通信
LinuxAudit_CL
| summarize EventCount = count() by comm_s
| where strlen(comm_s) > 1
| render barchart
最も頻度が高い名前
LinuxAudit_CL
| summarize EventCount = count() by name_s
| where strlen(name_s) > 1
| render barchart
ベンダーのインストール手順
このコネクタを構成するには、「NXLog ユーザー ガイド」の統合に関するトピック Microsoft Sentinel の詳細な手順に従ってください。
次のステップ
詳細については、Azure Marketplace の関連ソリューションに関するページを参照してください。