Łącznik powiązania ISC dla usługi Microsoft Sentinel

  • Artykuł

Łącznik powiązania ISC umożliwia łatwe łączenie dzienników powiązań ISC z usługą Microsoft Sentinel. Zapewnia to lepszy wgląd w dane ruchu sieciowego organizacji, dane zapytań DNS, statystyki ruchu sieciowego i zwiększa możliwości operacji zabezpieczeń.

Jest to automatycznie wygenerowana zawartość. W przypadku zmian skontaktuj się z dostawcą rozwiązania.

atrybuty Połączenie or

atrybut Połączenie or opis
Tabele usługi Log Analytics Dziennik systemu (ISCBind)
Obsługa reguł zbierania danych Przekształcanie obszaru roboczego DCR
Obsługiwane przez Microsoft Corporation

Przykłady zapytań

Zapytanie o 10 najważniejszych domen

ISCBind 

| where EventSubType == "request" 

| summarize count() by DnsQuery 

| top 10 by count_

10 pierwszych klientów według źródłowego adresu IP

ISCBind 

| where EventSubType == "request" 

| summarize count() by SrcIpAddr 

| top 10 by count_

Wymagania wstępne

Aby zintegrować z usługą ISC Bind, upewnij się, że:

  • Powiązanie ISC: należy skonfigurować do eksportowania dzienników za pośrednictwem dziennika systemowego

Instrukcje instalacji dostawcy

UWAGA: Ten łącznik danych zależy od analizatora opartego na funkcji Kusto działającej zgodnie z oczekiwaniami, która jest wdrażana w ramach rozwiązania. Aby wyświetlić kod funkcji w usłudze Log Analytics, otwórz blok Dzienniki usługi Log Analytics/Microsoft Sentinel, kliknij pozycję Funkcje i wyszukaj alias ISCBind i załaduj kod funkcji lub kliknij tutaj. Aktywacja funkcji zwykle trwa od 10 do 15 minut po zainstalowaniu/aktualizacji rozwiązania.

  1. Instalowanie i dołączanie agenta dla systemu Linux

Zazwyczaj należy zainstalować agenta na innym komputerze niż ten, na którym są generowane dzienniki.

Dzienniki dziennika systemowego są zbierane tylko z agentów systemu Linux .

  1. Konfigurowanie dzienników do zebrania

Skonfiguruj obiekty, które chcesz zbierać, i ich ważności.

  1. W obszarze Konfiguracja ustawień zaawansowanych obszaru roboczego wybierz pozycję Dane, a następnie Pozycję Syslog.

  2. Wybierz pozycję Zastosuj poniżej konfiguracji do moich maszyn i wybierz obiekty i ważność.

  3. Kliknij przycisk Zapisz.

  4. Konfigurowanie i łączenie powiązania ISC

  5. Postępuj zgodnie z tymi instrukcjami, aby skonfigurować powiązanie ISC z przekazywaniem dziennika systemowego:

  1. Skonfiguruj dziennik systemowy, aby wysyłać ruch dziennika systemowego do agenta. Użyj adresu IP lub nazwy hosta dla urządzenia z systemem Linux z agentem systemu Linux zainstalowanym jako docelowy adres IP.

Następne kroki

Aby uzyskać więcej informacji, przejdź do powiązanego rozwiązania w witrynie Azure Marketplace.