[Przestarzałe] Łącznik Symantec ProxySG dla usługi Microsoft Sentinel
Ważne
Zbieranie dzienników z wielu urządzeń i urządzeń jest teraz obsługiwane przez format Common Event Format (CEF) za pośrednictwem amA, dziennika systemowego za pośrednictwem usługi AMA lub dzienników niestandardowych za pośrednictwem łącznika danych AMA w usłudze Microsoft Sentinel. Aby uzyskać więcej informacji, zobacz Znajdowanie łącznika danych usługi Microsoft Sentinel.
Grupa proxySG firmy Symantec umożliwia łatwe łączenie dzienników symantec ProxySG z usługą Microsoft Sentinel w celu wyświetlania pulpitów nawigacyjnych, tworzenia alertów niestandardowych i ulepszania badań. Zintegrowanie grupy Symantec ProxySG z usługą Microsoft Sentinel zapewnia lepszy wgląd w ruch sieciowy serwera proxy w organizacji i zwiększy możliwości monitorowania zabezpieczeń.
Jest to automatycznie wygenerowana zawartość. W przypadku zmian skontaktuj się z dostawcą rozwiązania.
Atrybuty łącznika
| Atrybut łącznika | opis |
|---|---|
| Tabele usługi Log Analytics | Dziennik systemowy (SymantecProxySG) |
| Obsługa reguł zbierania danych | Przekształcanie obszaru roboczego DCR |
| Obsługiwane przez | Microsoft Corporation |
Przykłady zapytań
10 użytkowników, których nie mówiono
SymantecProxySG
| where sc_filter_result == 'DENIED'
| summarize count() by cs_userdn
| top 10 by count_
10 pierwszych odrzuconych adresów IP klienta
SymantecProxySG
| where sc_filter_result == 'DENIED'
| summarize count() by c_ip
| top 10 by count_
Wymagania wstępne
Aby zintegrować z usługą [Przestarzałe] Symantec ProxySG, upewnij się, że:
- Symantec ProxySG: należy skonfigurować do eksportowania dzienników za pośrednictwem dziennika systemowego
Instrukcje instalacji dostawcy
Uwaga
Ten łącznik danych zależy od analizatora opartego na funkcji Kusto działającej zgodnie z oczekiwaniami, która jest wdrażana w ramach rozwiązania. Aby wyświetlić kod funkcji w usłudze Log Analytics, otwórz blok Dzienniki usługi Log Analytics/Microsoft Sentinel, kliknij pozycję Funkcje i wyszukaj alias Symantec Proxy SG i załaduj kod funkcji lub kliknij tutaj, w drugim wierszu zapytania wprowadź nazwy hostów urządzeń Symantec Proxy SG i inne unikatowe identyfikatory dla strumienia dziennika. Aktywacja funkcji zwykle trwa od 10 do 15 minut po zainstalowaniu/aktualizacji rozwiązania.
- Instalowanie i dołączanie agenta dla systemu Linux
Zazwyczaj należy zainstalować agenta na innym komputerze niż ten, na którym są generowane dzienniki.
Dzienniki dziennika systemowego są zbierane tylko z agentów systemu Linux .
- Konfigurowanie dzienników do zebrania
Skonfiguruj obiekty, które chcesz zbierać, i ich ważności.
W obszarze Konfiguracja ustawień zaawansowanych obszaru roboczego wybierz pozycję Dane, a następnie Pozycję Syslog.
Wybierz pozycję Zastosuj poniżej konfiguracji do moich maszyn i wybierz obiekty i ważność.
Kliknij przycisk Zapisz.
Konfigurowanie i łączenie grupy proxysg firmy Symantec
Zaloguj się do konsoli zarządzania blue coat .
Wybierz pozycję Formaty rejestrowania > dostępu do konfiguracji>.
Wybierz Nowy.
Wprowadź unikatową nazwę w polu Nazwa formatu.
Kliknij przycisk radiowy w polu Ciąg formatu niestandardowego i wklej następujący ciąg w polu.
1 $(date) $(time) $(time-taken) $(c-ip) $(cs-userdn) $(cs-auth-groups) $(x-exception-id) $(sc-filter-result) $(cs-categories) $(quot)$(cs(Referer))$(quot) $(sc-status) $(s-action) $(cs-method) $(quot)$(rs(Content-Type))$(quot) $(cs-uri-scheme) $(cs-host) $(cs-uri-port) $(cs-uri-path) $(cs-uri-query) $(cs-uri-extension) $(quot)$(cs(User-Agent))$(quot) $(s-ip) $(sr-bytes) $(rs-bytes) $(x-virus-id) $(x-bluecoat-application-name) $(x-bluecoat-application-operation) $(cs-uri-port) $(x-cs-client-ip-country) $(cs-threat-risk)
Następne kroki
Aby uzyskać więcej informacji, przejdź do powiązanego rozwiązania w witrynie Azure Marketplace.