Udostępnij za pośrednictwem

[Przestarzałe] Łącznik ochrony przed utratą danych usługi Digital Guardian dla usługi Microsoft Sentinel

  • Artykuł

Ważne

Zbieranie dzienników z wielu urządzeń i urządzeń jest teraz obsługiwane przez format Common Event Format (CEF) za pośrednictwem amA, dziennika systemowego za pośrednictwem usługi AMA lub dzienników niestandardowych za pośrednictwem łącznika danych AMA w usłudze Microsoft Sentinel. Aby uzyskać więcej informacji, zobacz Znajdowanie łącznika danych usługi Microsoft Sentinel.

Łącznik danych usługi Digital Guardian Data Loss Prevention (DLP) zapewnia możliwość pozyskiwania dzienników DLP usługi Digital Guardian do usługi Microsoft Sentinel.

Jest to automatycznie wygenerowana zawartość. W przypadku zmian skontaktuj się z dostawcą rozwiązania.

Atrybuty łącznika

Atrybut łącznika opis
Tabele usługi Log Analytics Syslog (DigitalGuardianDLPEvent)
Obsługa reguł zbierania danych Przekształcanie obszaru roboczego DCR
Obsługiwane przez Microsoft Corporation

Przykłady zapytań

10 pierwszych klientów (źródłowy adres IP)

DigitalGuardianDLPEvent

| where notempty(SrcIpAddr)

| summarize count() by SrcIpAddr

| top 10 by count_

Instrukcje instalacji dostawcy

Uwaga

Ten łącznik danych zależy od analizatora opartego na funkcji Kusto działającej zgodnie z oczekiwaniami digitalGuardianDLPEvent , która jest wdrażana przy użyciu rozwiązania Microsoft Sentinel.

  1. Skonfiguruj usługę Digital Guardian, aby przekazywać dzienniki za pośrednictwem dziennika systemowego do serwera zdalnego, na którym zostanie zainstalowany agent.

Wykonaj następujące kroki, aby skonfigurować usługę Digital Guardian w celu przekazywania dzienników za pośrednictwem dziennika systemowego:

1.1. Zaloguj się do konsoli zarządzania usługi Digital Guardian.

1.2. Wybierz pozycję Eksportowanie>danych obszaru roboczego>Utwórz eksport.

1.3. Z listy Źródła danych wybierz pozycję Alerty lub Zdarzenia jako źródło danych.

1.4. Z listy Typ eksportu wybierz pozycję Syslog.

1.5. Z listy Typ wybierz pozycję UDP lub TCP jako protokół transportowy.

1.6. W polu Serwer wpisz adres IP serwera zdalnej usługi Syslog.

1.7. W polu Port wpisz 514 (lub inny port, jeśli serwer syslog został skonfigurowany do używania portu innego niż domyślny).

1.8. Z listy Poziom ważności wybierz poziom ważności.

1.9. Zaznacz pole wyboru Jest aktywne.

1.9. Kliknij przycisk Dalej.

1.10. Z listy dostępnych pól dodaj pola Alert lub Zdarzenie dla eksportu danych.

1.11. Wybierz kryteria dla pól w eksporcie danych, a następnie kliknij przycisk Dalej.

1.12. Wybierz grupę dla kryteriów, a następnie kliknij przycisk Dalej.

1.13. Kliknij pozycję Testuj zapytanie.

1.14. Kliknij przycisk Dalej.

1.15. Zapisz eksport danych.

  1. Instalowanie i dołączanie agenta dla systemu Linux lub Windows

Zainstaluj agenta na serwerze, do którego będą przekazywane dzienniki.

Dzienniki na serwerach z systemem Linux lub Windows są zbierane przez agentów systemu Linux lub Windows .

  1. Sprawdzanie dzienników w usłudze Microsoft Sentinel

Otwórz usługę Log Analytics, aby sprawdzić, czy dzienniki są odbierane przy użyciu schematu dziennika systemowego.

UWAGA: Wyświetlenie nowych dzienników w tabeli Syslog może potrwać do 15 minut.

Następne kroki

Aby uzyskać więcej informacji, przejdź do powiązanego rozwiązania w witrynie Azure Marketplace.