Udostępnij za pośrednictwem

[Przestarzałe] Łącznik powiązania ISC dla usługi Microsoft Sentinel

  • Artykuł

Ważne

Zbieranie dzienników z wielu urządzeń i urządzeń jest teraz obsługiwane przez format Common Event Format (CEF) za pośrednictwem amA, dziennika systemowego za pośrednictwem usługi AMA lub dzienników niestandardowych za pośrednictwem łącznika danych AMA w usłudze Microsoft Sentinel. Aby uzyskać więcej informacji, zobacz Znajdowanie łącznika danych usługi Microsoft Sentinel.

Łącznik powiązania ISC umożliwia łatwe łączenie dzienników powiązań ISC z usługą Microsoft Sentinel. Zapewnia to lepszy wgląd w dane ruchu sieciowego organizacji, dane zapytań DNS, statystyki ruchu sieciowego i zwiększa możliwości operacji zabezpieczeń.

Jest to automatycznie wygenerowana zawartość. W przypadku zmian skontaktuj się z dostawcą rozwiązania.

Atrybuty łącznika

Atrybut łącznika opis
Tabele usługi Log Analytics Dziennik systemu (ISCBind)
Obsługa reguł zbierania danych Przekształcanie obszaru roboczego DCR
Obsługiwane przez Microsoft Corporation

Przykłady zapytań

Zapytanie o 10 najważniejszych domen

ISCBind 

| where EventSubType == "request" 

| summarize count() by DnsQuery 

| top 10 by count_

10 pierwszych klientów według źródłowego adresu IP

ISCBind 

| where EventSubType == "request" 

| summarize count() by SrcIpAddr 

| top 10 by count_

Wymagania wstępne

Aby zintegrować z usługą [Przestarzałe] powiązanie ISC, upewnij się, że:

  • Powiązanie ISC: należy skonfigurować do eksportowania dzienników za pośrednictwem dziennika systemowego

Instrukcje instalacji dostawcy

UWAGA: Ten łącznik danych zależy od analizatora opartego na funkcji Kusto działającej zgodnie z oczekiwaniami, która jest wdrażana w ramach rozwiązania. Aby wyświetlić kod funkcji w usłudze Log Analytics, otwórz blok Dzienniki usługi Log Analytics/Microsoft Sentinel, kliknij pozycję Funkcje i wyszukaj alias ISCBind i załaduj kod funkcji lub kliknij tutaj. Aktywacja funkcji zwykle trwa od 10 do 15 minut po zainstalowaniu/aktualizacji rozwiązania.

  1. Instalowanie i dołączanie agenta dla systemu Linux

Zazwyczaj należy zainstalować agenta na innym komputerze niż ten, na którym są generowane dzienniki.

Dzienniki dziennika systemowego są zbierane tylko z agentów systemu Linux .

  1. Konfigurowanie dzienników do zebrania

Skonfiguruj obiekty, które chcesz zbierać, i ich ważności.

  1. W obszarze Konfiguracja ustawień zaawansowanych obszaru roboczego wybierz pozycję Dane, a następnie Pozycję Syslog.

  2. Wybierz pozycję Zastosuj poniżej konfiguracji do moich maszyn i wybierz obiekty i ważność.

  3. Kliknij przycisk Zapisz.

  4. Konfigurowanie i łączenie powiązania ISC

  5. Postępuj zgodnie z tymi instrukcjami, aby skonfigurować powiązanie ISC z przekazywaniem dziennika systemowego:

  1. Skonfiguruj dziennik systemowy, aby wysyłać ruch dziennika systemowego do agenta. Użyj adresu IP lub nazwy hosta dla urządzenia z systemem Linux z agentem systemu Linux zainstalowanym jako docelowy adres IP.

Następne kroki

Aby uzyskać więcej informacji, przejdź do powiązanego rozwiązania w witrynie Azure Marketplace.