Compartilhar via


[Obsoleto] OSSEC por meio do conector AMA para Microsoft Sentinel

Importante

A coleta de logs de vários aparelhos e dispositivos agora tem suporte no Formato Comum de Evento (CEF) via AMA, Syslog via AMA, ou Logs Personalizados via conector de dados AMA no Microsoft Sentinel. Para obter mais informações, consulte Encontrar seu conector de dados do Microsoft Sentinel.

O conector de dados OSSEC oferece a capacidade de ingerir eventos OSSEC no Microsoft Sentinel. Consulte a documentação do OSSEC para mais informações.

Esse é conteúdo gerado automaticamente. Para alterações, entre em contato com o provedor da solução.

Atributos do conector

Atributo do conector Description
Tabela(s) do Log Analytics CommonSecurityLog (OSSEC)
Suporte às regras de coleta de dados DCR de transformação do espaço de trabalho
Com suporte por Microsoft Corporation

Exemplos de consulta

10 Regras Principais

OSSECEvent

| summarize count() by RuleName

| top 10 by count_

Pré-requisitos

Para integrar com o OSSEC [Obsoleto] via AMA, certifique-se de ter:

  • ****: para coletar dados de VMs que não são do Azure, elas precisam ter o Azure Arc instalado e habilitado. Saiba mais
  • ****: o CEF (Formato Comum de Evento) por meio do AMA e o Syslog por meio de conectores de dados do AMA devem ser instalados. Saiba mais

Instruções de instalação do fornecedor

Observação

Este conector de dados depende de um analisador baseado em uma Função Kusto para funcionar conforme o esperado, que é implantado como parte da solução. Para exibir o código da função no Log Analytics, abra a folha Logs do Log Analytics/Microsoft Sentinel, clique em Funções e pesquise pelo alias OSSEC e carregue o código da função ou clique aqui, na segunda linha da consulta, insira os nomes de host de seus dispositivos OSSEC e quaisquer outros identificadores exclusivos para o fluxo de log. A função geralmente leva de 10 a 15 minutos para ser ativada após a instalação/atualização da solução.

  1. Proteja seu computador

Certifique-se de configurar a segurança do computador de acordo com a política de segurança da sua organização

Saiba mais >

Próximas etapas

Para obter mais informações, acesse a solução relacionada no Azure Marketplace.