ESET PROTECT-connector voor Microsoft Sentinel
Deze connector verzamelt alle gebeurtenissen die door ESET-software worden gegenereerd via de centrale beheeroplossing ESET PROTECT (voorheen ESET Security Management Center). Dit omvat anti-virusdetecties, firewalldetecties, maar ook geavanceerdere EDR-detecties. Raadpleeg de documentatie voor een volledige lijst met gebeurtenissen.
Dit is automatisch gegenereerde inhoud. Neem contact op met de provider van de oplossing voor wijzigingen.
Verbinding maken orkenmerken
Verbinding maken orkenmerk | Beschrijving |
---|---|
Log Analytics-tabellen | Syslog (ESETPROTECT) |
Ondersteuning voor regels voor gegevensverzameling | DCR voor werkruimtetransformatie |
Ondersteund door | ESET Nederland |
Voorbeelden van query's
ESET-bedreigingsevenementen
ESETPROTECT
| where EventType == 'Threat_Event'
| sort by TimeGenerated desc
Top 10 gedetecteerde bedreigingen
ESETPROTECT
| where EventType == 'Threat_Event'
| summarize ThreatCount = count() by tostring(ThreatName)
| top 10 by ThreatCount
FIREWALL-gebeurtenissen voor ESET
ESETPROTECT
| where EventType == 'FirewallAggregated_Event'
| sort by TimeGenerated desc
ESET-bedreigingsevenementen
ESETPROTECT
| where EventType == 'Threat_Event'
| sort by TimeGenerated desc
ESET-bedreigingsgebeurtenissen van realtime-bestandssysteembeveiliging
ESETPROTECT
| where EventType == 'Threat_Event'
| where ScanId == 'Real-time file system protection'
| sort by TimeGenerated desc
Query's uitvoeren op ESET-bedreigingsgebeurtenissen van on-demand scanner
ESETPROTECT
| where EventType == 'Threat_Event'
| where ScanId == 'On-demand scanner'
| sort by TimeGenerated desc
Belangrijkste hosts op aantal bedreigingsevenementen
ESETPROTECT
| where EventType == 'Threat_Event'
| summarize threat_events_count = count() by HostName
| sort by threat_events_count desc
ESET-websites filteren
ESETPROTECT
| where EventType == 'FilteredWebsites_Event'
| sort by TimeGenerated desc
ESET-auditgebeurtenissen
ESETPROTECT
| where EventType == 'Audit_Event'
| sort by TimeGenerated desc
Installatie-instructies van leverancier
OPMERKING: Deze gegevensconnector is afhankelijk van een parser op basis van een Kusto-functie om te werken zoals verwacht, die wordt geïmplementeerd als onderdeel van de oplossing. Als u de functiecode in Log Analytics wilt weergeven, opent u de blade Log Analytics/Microsoft Sentinel-logboeken, klikt u op Functies en zoekt u naar de alias ESETPROTECT en laadt u de functiecode of klikt u hier. Het duurt meestal 10-15 minuten voordat de functie wordt geactiveerd na de installatie/update van de oplossing.
- De agent voor Linux installeren en onboarden
Normaal gesproken moet u de agent installeren op een andere computer dan de agent waarop de logboeken worden gegenereerd.
Syslog-logboeken worden alleen verzameld van Linux-agents .
- De logboeken configureren die moeten worden verzameld
Configureer de faciliteiten die u wilt verzamelen en de bijbehorende ernst.
Selecteergegevens en vervolgens Syslog onder Geavanceerde instellingen voor werkruimteconfiguratie.
Selecteer Onderstaande configuratie toepassen op mijn machines en selecteer de faciliteiten en ernst. De standaard ESET PROTECT-faciliteit is gebruiker.
Klik op Opslaan.
ESET PROTECT configureren
Configureer ESET PROTECT om alle gebeurtenissen via Syslog te verzenden.
Volg deze instructies om syslog-uitvoer te configureren. Zorg ervoor dat u BSD selecteert als de indeling en TCP als het transport.
Volg deze instructies om alle logboeken te exporteren naar syslog. Selecteer JSON als uitvoerindeling.
Opmerking:- Raadpleeg de documentatie voor het instellen van de logboekstuurserver voor zowel lokale als cloudopslag.
Volgende stappen
Ga naar de gerelateerde oplossing in Azure Marketplace voor meer informatie.