Conector Microsoft Sysmon para Linux para Microsoft Sentinel
Sysmon para Linux fornece informações detalhadas sobre criações de processos, conexões de rede e outros eventos do sistema. [Sysmon para linux link:]. O conector Sysmon para Linux usa Syslog como seu método de ingestão de dados. Esta solução depende do ASIM para funcionar conforme o esperado. Implante o ASIM para obter o valor total da solução.
Trata-se de conteúdo gerado automaticamente. Para alterações, entre em contato com o provedor da solução.
Atributos do conector
| Atributo do conector | Description |
|---|---|
| Tabela(s) do Log Analytics | Syslog (Sysmon) |
| Suporte a regras de coleta de dados | Transformar DCR no espaço de trabalho |
| Apoiado por | Corporação Microsoft |
Exemplos de consulta
Top 10 Eventos por ActingProcessName
vimProcessCreateLinuxSysmon
| summarize count() by ActingProcessName
| top 10 by count_
Instruções de instalação do fornecedor
Este conector de dados depende de analisadores ASIM baseados em funções Kusto para funcionar conforme o esperado. Implantar os analisadores
As seguintes funções serão implantadas:
vimFileEventLinuxSysmonFileCreated, vimFileEventLinuxSysmonFileDeleted
vimProcessCreateLinuxSysmon, vimProcessTerminateLinuxSysmon
vimNetworkSessionLinuxSysmon
- Instalar e integrar o agente para Linux
Normalmente, você deve instalar o agente em um computador diferente daquele em que os logs são gerados.
Os logs do Syslog são coletados somente de agentes Linux .
- Configurar os logs a serem coletados
Configure as instalações que deseja coletar e suas gravidades.
- Em Configurações avançadas do espaço de trabalho Configuração, selecione Dados e, em seguida, Syslog.
- Selecione Aplicar configuração abaixo às minhas máquinas e selecione as instalações e gravidades.
- Clique em Guardar.
Próximos passos
Para obter mais informações, vá para a solução relacionada no Azure Marketplace.