[Przestarzałe] Łącznik McAfee Network Security Platform dla usługi Microsoft Sentinel
Ważne
Zbieranie dzienników z wielu urządzeń i urządzeń jest teraz obsługiwane przez format Common Event Format (CEF) za pośrednictwem amA, dziennika systemowego za pośrednictwem usługi AMA lub dzienników niestandardowych za pośrednictwem łącznika danych AMA w usłudze Microsoft Sentinel. Aby uzyskać więcej informacji, zobacz Znajdowanie łącznika danych usługi Microsoft Sentinel.
Łącznik danych platformy zabezpieczeń sieci McAfee® umożliwia pozyskiwanie zdarzeń platformy zabezpieczeń sieci McAfee® do usługi Microsoft Sentinel. Aby uzyskać więcej informacji, zobacz McAfee® Network Security Platform.
Jest to automatycznie wygenerowana zawartość. W przypadku zmian skontaktuj się z dostawcą rozwiązania.
Atrybuty łącznika
| Atrybut łącznika | opis |
|---|---|
| Tabele usługi Log Analytics | Syslog (McAfeeNSPEvent) |
| Obsługa reguł zbierania danych | Przekształcanie obszaru roboczego DCR |
| Obsługiwane przez | Microsoft Corporation |
Przykłady zapytań
10 najlepszych źródeł
McAfeeNSPEvent
| summarize count() by tostring(DvcHostname)
| top 10 by count_
Instrukcje instalacji dostawcy
Uwaga
Ten łącznik danych zależy od analizatora opartego na funkcji Kusto działającej zgodnie z oczekiwaniami McAfeeNSPEvent , która jest wdrażana przy użyciu rozwiązania Microsoft Sentinel.
Uwaga
Ten łącznik danych został opracowany przy użyciu platformy zabezpieczeń sieci McAfee®: 10.1.x
- Instalowanie i dołączanie agenta dla systemu Linux lub Windows
Zainstaluj agenta na serwerze, na którym są przekazywane dzienniki platformy zabezpieczeń sieci McAfee®.
Dzienniki z programu McAfee® Network Security Platform Server wdrożonego na serwerach z systemem Linux lub Windows są zbierane przez agentów systemu Linux lub Windows .
- Konfigurowanie przekazywania zdarzeń platformy zabezpieczeń sieci mcAfee®
Wykonaj poniższe kroki konfiguracji, aby uzyskać dzienniki platformy zabezpieczeń sieci McAfee® do usługi Microsoft Sentinel.
- Postępuj zgodnie z tymi instrukcjami , aby przekazać alerty z Menedżera do serwera syslog.
- Dodaj profil powiadomień dziennika systemowego, więcej szczegółów znajdziesz tutaj. Jest to obowiązkowe. Podczas tworzenia profilu, aby upewnić się, że zdarzenia są poprawnie sformatowane, wprowadź następujący tekst w polu tekstowym Wiadomość: :|SENSOR_ALERT_UUID|ALERT_TYPE|ATTACK_TIME|ATTACK_NAME|ATTACK_ID |ATTACK_SEVERITY|ATTACK_SIGNATURE|ATTACK_CONFIDENCE|ADMIN_DOMAIN|SENSOR_NAME|INTERFEJS |SOURCE_IP|SOURCE_PORT|DESTINATION_IP|DESTINATION_PORT|KATEGORIA|SUB_CATEGORY |KIERUNEK|RESULT_STATUS|DETECTION_MECHANISM|APPLICATION_PROTOCOL|NETWORK_PROTOCOL|
Następne kroki
Aby uzyskać więcej informacji, przejdź do powiązanego rozwiązania w witrynie Azure Marketplace.