Łącznik Blackberry CylancePROTECT dla usługi Microsoft Sentinel
Łącznik Blackberry CylancePROTECT umożliwia łatwe łączenie dzienników CylancePROTECT z usługą Microsoft Sentinel. Zapewnia to lepszy wgląd w sieć organizacji i zwiększa możliwości operacji zabezpieczeń.
Jest to automatycznie wygenerowana zawartość. W przypadku zmian skontaktuj się z dostawcą rozwiązania.
atrybuty Połączenie or
atrybut Połączenie or | opis |
---|---|
Tabele usługi Log Analytics | Syslog (CylancePROTECT) |
Obsługa reguł zbierania danych | Przekształcanie obszaru roboczego DCR |
Obsługiwane przez | Microsoft Corporation |
Przykłady zapytań
10 najważniejszych typów zdarzeń
CylancePROTECT
| summarize count() by EventName
| top 10 by count_
Pierwsze 10 wyzwolonych zasad
CylancePROTECT
| where EventType == "Threat"
| summarize count() by PolicyName
| top 10 by count_
Wymagania wstępne
Aby zintegrować aplikację Blackberry CylancePROTECT, upewnij się, że:
- CylancePROTECT: należy skonfigurować do eksportowania dzienników za pośrednictwem dziennika systemowego.
Instrukcje instalacji dostawcy
Uwaga
Ten łącznik danych zależy od analizatora opartego na funkcji Kusto działającej zgodnie z oczekiwaniami, która jest wdrażana w ramach rozwiązania. Aby wyświetlić kod funkcji w usłudze Log Analytics, otwórz blok Dzienniki usługi Log Analytics/Microsoft Sentinel, kliknij pozycję Funkcje i wyszukaj alias CyclanePROTECT i załaduj kod funkcji lub kliknij tutaj, w drugim wierszu zapytania wprowadź nazwy hostów urządzeń CyclanePROTECT i inne unikatowe identyfikatory dla strumienia dziennika. Aktywacja funkcji zwykle trwa od 10 do 15 minut po zainstalowaniu/aktualizacji rozwiązania.
- Instalowanie i dołączanie agenta dla systemu Linux
Zazwyczaj należy zainstalować agenta na innym komputerze niż ten, na którym są generowane dzienniki.
Dzienniki dziennika systemowego są zbierane tylko z agentów systemu Linux .
- Konfigurowanie dzienników do zebrania
Skonfiguruj obiekty, które chcesz zbierać, i ich ważności.
Wybierz poniższy link, aby otworzyć konfigurację agentów obszaru roboczego, a następnie wybierz kartę Dziennik systemowy.
Wybierz pozycję Dodaj obiekt i wybierz z listy rozwijanej obiektów. Powtórz dla wszystkich obiektów, które chcesz dodać.
Zaznacz pola wyboru dla żądanych ważności dla każdego obiektu.
Kliknij Zastosuj.
Konfigurowanie i łączenie aplikacji CylancePROTECT
Postępuj zgodnie z tymi instrukcjami , aby skonfigurować aplikację CylancePROTECT do przesyłania dalej dziennika systemowego. Użyj adresu IP lub nazwy hosta dla urządzenia z systemem Linux z agentem systemu Linux zainstalowanym jako docelowy adres IP.
Następne kroki
Aby uzyskać więcej informacji, przejdź do powiązanego rozwiązania w witrynie Azure Marketplace.