Microsoft Sentinel용 Symantec Endpoint Protection 커넥터
Broadcom SEP(Symantec Endpoint Protection) 커넥터를 사용하면 SEP 로그를 Microsoft Sentinel과 쉽게 연결할 수 있습니다. 이를 통해 조직의 네트워크 내부의 인사이트를 파악해, 보안 작업 기능이 향상됩니다.
자동 생성된 콘텐츠입니다. 변경은 솔루션 공급자에게 문의하세요.
커넥터 특성
| 커넥터 특성 | 설명 |
|---|---|
| Log Analytics 테이블 | Syslog(SymantecEndpointProtection) |
| 데이터 수집 규칙 지원 | 작업 영역 변환 DCR |
| 지원 공급자 | Microsoft Corporation |
쿼리 샘플
**상위 10개 로그 유형**
SymantecEndpointProtection
| summarize count() by LogType
| top 10 by count_
상위 10명의 사용자
SymantecEndpointProtection
| summarize count() by UserName
| top 10 by count_
필수 조건
Symantec Endpoint Protection과 통합하려면 다음 사항을 확인합니다.
- SEP(Symantec Endpoint Protection): Syslog를 통해 로그를 내보내도록 구성되어야 합니다.
공급업체 설치 지침
참고: 이 데이터 커넥터는 솔루션의 일부로 배포되는 Kusto 함수 기반 파서에 따라 예상대로 작동합니다. Log Analytics에서 함수 코드를 보려면 Log Analytics/Microsoft Sentinel Logs 블레이드를 열고, Functions를 클릭하고, 별칭 Symantec Endpoint Protection를 검색한 후 함수 코드를 로드하거나 여기를 클릭하고, 쿼리의 두 번째 줄에 Symantec EndpointProtection 디바이스의 호스트 이름과 로그 스트림의 기타 고유 식별자를 입력합니다. 솔루션 설치/업데이트 후 함수가 활성화되는 데 일반적으로 10~15분이 소요됩니다.
- Linux용 에이전트 설치 및 온보딩
일반적으로 로그가 생성되는 컴퓨터와 다른 컴퓨터에 에이전트를 설치해야 합니다.
Syslog 로그는 Linux 에이전트에서만 수집됩니다.
- 수집할 로그 구성
수집할 기능과 해당 심각도를 구성합니다.
작업 영역 고급 설정 구성에서 데이터를 선택한 다음 Syslog를 선택합니다.
내 컴퓨터에 아래 구성 적용을 선택하고 시설 및 심각도를 선택합니다.
저장을 클릭합니다.
Symantec Endpoint Protection 구성 및 연결
syslog를 전달하도록 Symantec Endpoint Protection을 구성하려면 다음 지침을 따릅니다. Linux 에이전트가 대상 IP 주소로 설치된 Linux 디바이스의 IP 주소 또는 호스트 이름을 사용합니다.
다음 단계
자세한 내용을 보려면 Azure Marketplace의 관련 솔루션으로 이동합니다.
피드백
출시 예정: 2024년 내내 콘텐츠에 대한 피드백 메커니즘으로 GitHub 문제를 단계적으로 폐지하고 이를 새로운 피드백 시스템으로 바꿀 예정입니다. 자세한 내용은 다음을 참조하세요. https://aka.ms/ContentUserFeedback
다음에 대한 사용자 의견 제출 및 보기