[Przestarzałe] Łącznik PROTECT FIRMY INTUNE dla usługi Microsoft Sentinel
Ważne
Zbieranie dzienników z wielu urządzeń i urządzeń jest teraz obsługiwane przez format Common Event Format (CEF) za pośrednictwem amA, dziennika systemowego za pośrednictwem usługi AMA lub dzienników niestandardowych za pośrednictwem łącznika danych AMA w usłudze Microsoft Sentinel. Aby uzyskać więcej informacji, zobacz Znajdowanie łącznika danych usługi Microsoft Sentinel.
Ten łącznik zbiera wszystkie zdarzenia generowane przez oprogramowanie FIRMY ESET za pośrednictwem centralnego rozwiązania do zarządzania PROGRAMU DHCP PROTECT (dawniej CENTRUM zarządzania zabezpieczeniami FIRMY ESET). Obejmuje to wykrywanie wirusów, wykrywanie zapory, ale także bardziej zaawansowane wykrywanie EDR. Pełną listę zdarzeń można znaleźć w dokumentacji.
Jest to automatycznie wygenerowana zawartość. W przypadku zmian skontaktuj się z dostawcą rozwiązania.
Atrybuty łącznika
| Atrybut łącznika | opis |
|---|---|
| Tabele usługi Log Analytics | Dziennik systemowy (ESETPROTECT) |
| Obsługa reguł zbierania danych | Przekształcanie obszaru roboczego DCR |
| Obsługiwane przez | PROGRAM ESET — Holandia |
Przykłady zapytań
Zdarzenia zagrożenia w programie ESET
ESETPROTECT
| where EventType == 'Threat_Event'
| sort by TimeGenerated desc
10 wykrytych zagrożeń
ESETPROTECT
| where EventType == 'Threat_Event'
| summarize ThreatCount = count() by tostring(ThreatName)
| top 10 by ThreatCount
Zdarzenia zapory FIREWALL w usłudze FIREWALL
ESETPROTECT
| where EventType == 'FirewallAggregated_Event'
| sort by TimeGenerated desc
Zdarzenia zagrożenia w programie ESET
ESETPROTECT
| where EventType == 'Threat_Event'
| sort by TimeGenerated desc
Zdarzenia zagrożeń FIRMY ESET z ochrony systemu plików w czasie rzeczywistym
ESETPROTECT
| where EventType == 'Threat_Event'
| where ScanId == 'Real-time file system protection'
| sort by TimeGenerated desc
Wykonywanie zapytań dotyczących zdarzeń zagrożenia FIRMY ESET ze skanera na żądanie
ESETPROTECT
| where EventType == 'Threat_Event'
| where ScanId == 'On-demand scanner'
| sort by TimeGenerated desc
Najważniejsze hosty według liczby zdarzeń zagrożenia
ESETPROTECT
| where EventType == 'Threat_Event'
| summarize threat_events_count = count() by HostName
| sort by threat_events_count desc
Filtr witryn sieci Web FIRMY ESET
ESETPROTECT
| where EventType == 'FilteredWebsites_Event'
| sort by TimeGenerated desc
Zdarzenia inspekcji PROGRAMU DHCP
ESETPROTECT
| where EventType == 'Audit_Event'
| sort by TimeGenerated desc
Instrukcje instalacji dostawcy
UWAGA: Ten łącznik danych zależy od analizatora opartego na funkcji Kusto działającej zgodnie z oczekiwaniami, która jest wdrażana w ramach rozwiązania. Aby wyświetlić kod funkcji w usłudze Log Analytics, otwórz blok Dzienniki usługi Log Analytics/Microsoft Sentinel, kliknij pozycję Funkcje i wyszukaj alias MSDPROTECT i załaduj kod funkcji lub kliknij tutaj. Aktywacja funkcji zwykle trwa od 10 do 15 minut po zainstalowaniu/aktualizacji rozwiązania.
- Instalowanie i dołączanie agenta dla systemu Linux
Zazwyczaj należy zainstalować agenta na innym komputerze niż ten, na którym są generowane dzienniki.
Dzienniki dziennika systemowego są zbierane tylko z agentów systemu Linux .
- Konfigurowanie dzienników do zebrania
Skonfiguruj obiekty, które chcesz zbierać, i ich ważności.
W obszarze Konfiguracja ustawień zaawansowanych obszaru roboczego wybierz pozycję Dane, a następnie Pozycję Syslog.
Wybierz pozycję Zastosuj poniżej konfiguracji do moich maszyn i wybierz obiekty i ważność. Domyślny obiekt PROGRAMU ESET PROTECT jest użytkownikiem.
Kliknij przycisk Zapisz.
Konfigurowanie programu ESET PROTECT
Skonfiguruj program DEFENDER PROTECT, aby wysyłać wszystkie zdarzenia za pośrednictwem dziennika systemowego.
Postępuj zgodnie z tymi instrukcjami , aby skonfigurować dane wyjściowe dziennika syslog. Pamiętaj, aby wybrać usługę BSD jako format i tcp jako transport.
Postępuj zgodnie z tymi instrukcjami , aby wyeksportować wszystkie dzienniki do dziennika systemowego. Wybierz format JSON jako format danych wyjściowych.
Uwaga: zapoznaj się z dokumentacją dotyczącą konfigurowania usługi przesyłania dalej dzienników zarówno dla magazynu lokalnego, jak i w chmurze.
Następne kroki
Aby uzyskać więcej informacji, przejdź do powiązanego rozwiązania w witrynie Azure Marketplace.