Microsoft Sentinel 用 Symantec ProxySG コネクタ

  • [アーティクル]

Symantec ProxySG を使うと、Microsoft Sentinel に Symantec ProxySG ログを簡単に接続して、ダッシュ ボードを表示し、カスタム アラートを作成し、調査を向上させることができます。 Symantec ProxySG を Microsoft Sentinel と統合すると、組織のネットワーク プロキシ トラフィックの可視性が向上し、セキュリティ監視機能が強化されます。

コネクタの属性

コネクタ属性 説明
Log Analytics テーブル Syslog (SymantecProxySG)
データ収集ルールのサポート ワークスペース変換 DCR
サポートしているもの Microsoft Corporation

クエリのサンプル

上位 10 件の拒否されたユーザー

SymantecProxySG 

| where sc_filter_result == 'DENIED' 

| summarize count() by cs_userdn 

| top 10 by count_

上位 10 件の拒否されたクライアント IP

SymantecProxySG 

| where sc_filter_result == 'DENIED' 

| summarize count() by c_ip 

| top 10 by count_

前提条件

Symantec ProxySG と統合するには、以下が必要です。

  • Symantec ProxySG: Syslog を介してログをエクスポートするように構成する必要があります

ベンダーのインストール手順

注意

このデータ コネクタは、ソリューションの一部としてデプロイされている Kusto 関数に基づくパーサーを利用して正常に動作します。 Log Analytics で関数コードを表示するには、Log Analytics/Microsoft Sentinel ログ ブレードを開き、関数をクリックし、別名 Symantec Proxy SG を検索して関数コードを読み込みます。または ここをクリックするか、クエリの 2 行目で Symantec Proxy SG デバイスのホスト名と、ログストリームのその他の一意の識別子を入力します。 この関数は、通常、ソリューションのインストール/更新後にアクティブ化されるまでに 10 から 15 分かかります。

  1. Linux 用エージェントをインストールおよびオンボードする

一般的に、エージェントは、ログが生成されるコンピューターとは別のコンピューターにインストールする必要があります。

Syslog ログは Linux エージェントからのみ収集されます。

  1. 収集するログを構成する

収集するファシリティとその重要度を構成します。

  1. ワークスペースの詳細設定の [構成] で、[データ] を選択し、[Syslog] を選択します。

  2. [下の構成をコンピューターに適用する] を選択し、ファシリティと重要度を選択します。

  3. [保存] をクリックします。

  4. Symantec ProxySG を構成して接続します

  5. Blue Coat 管理コンソールにログインします。

  6. [構成] > [アクセス ログ] > [形式] を選択します。

  7. [新規] を選択します。

  8. [書式名] フィールドに一意の名前を入力します。

  9. [カスタム書式指定文字列] のラジオ ボタンをクリックし、次の文字列をフィールドに貼り付けます。

1 $(date) $(time) $(time-taken) $(c-ip) $(cs-userdn) $(cs-auth-groups) $(x-exception-id) $(sc-filter-result) $(cs-categories) $(quot)$(cs(Referer))$(quot) $(sc-status) $(s-action) $(cs-method) $(quot)$(rs(Content-Type))$(quot) $(cs-uri-scheme) $(cs-host) $(cs-uri-port) $(cs-uri-path) $(cs-uri-query) $(cs-uri-extension) $(quot)$(cs(User-Agent))$(quot) $(s-ip) $(sr-bytes) $(rs-bytes) $(x-virus-id) $(x-bluecoat-application-name) $(x-bluecoat-application-operation) $(cs-uri-port) $(x-cs-client-ip-country) $(cs-threat-risk)

6. **OK** ボタンをクリックします。 7. **適用** ボタンをクリックします。 8. [これらの手順に従って](https://knowledge.broadcom.com/external/article/166529/sending-access-logs-to-a-syslog-server.html) で **Access** ログの syslog ストリーミングを有効にします。 Linux エージェントが宛先 IP アドレスとしてインストールされている Linux デバイスの IP アドレスまたはホスト名を使用する

次のステップ

詳細については、Azure Marketplace の関連ソリューションに関するページを参照してください。