Conector ESET PROTECT para Microsoft Sentinel
Este conector reúne todos os eventos gerados pelo software ESET através da solução de gerenciamento central ESET PROTECT (anteriormente ESET Security Management Center). Isso inclui deteções de antivírus, deteções de firewall, mas também deteções EDR mais avançadas. Para obter uma lista completa de eventos, consulte a documentação.
Trata-se de conteúdo gerado automaticamente. Para alterações, entre em contato com o provedor da solução.
Atributos do conector
| Atributo do conector | Description |
|---|---|
| Tabela(s) do Log Analytics | Syslog (ESETPROTECT) |
| Suporte a regras de coleta de dados | Transformar DCR no espaço de trabalho |
| Apoiado por | ESET Países Baixos |
Exemplos de consulta
Eventos de ameaça ESET
ESETPROTECT
| where EventType == 'Threat_Event'
| sort by TimeGenerated desc
As 10 principais ameaças detetadas
ESETPROTECT
| where EventType == 'Threat_Event'
| summarize ThreatCount = count() by tostring(ThreatName)
| top 10 by ThreatCount
Eventos de firewall ESET
ESETPROTECT
| where EventType == 'FirewallAggregated_Event'
| sort by TimeGenerated desc
Eventos de ameaça ESET
ESETPROTECT
| where EventType == 'Threat_Event'
| sort by TimeGenerated desc
Eventos de ameaça ESET da proteção em tempo real do sistema de arquivos
ESETPROTECT
| where EventType == 'Threat_Event'
| where ScanId == 'Real-time file system protection'
| sort by TimeGenerated desc
Consultar eventos de ameaça ESET a partir do mecanismo de varredura por solicitação
ESETPROTECT
| where EventType == 'Threat_Event'
| where ScanId == 'On-demand scanner'
| sort by TimeGenerated desc
Principais anfitriões por número de eventos de ameaça
ESETPROTECT
| where EventType == 'Threat_Event'
| summarize threat_events_count = count() by HostName
| sort by threat_events_count desc
Filtro de sites da ESET
ESETPROTECT
| where EventType == 'FilteredWebsites_Event'
| sort by TimeGenerated desc
Eventos de auditoria ESET
ESETPROTECT
| where EventType == 'Audit_Event'
| sort by TimeGenerated desc
Instruções de instalação do fornecedor
NOTA: Este conector de dados depende de um analisador baseado numa Função Kusto para funcionar como esperado, que é implementado como parte da solução. Para visualizar o código da função no Log Analytics, abra a folha Log Analytics/Microsoft Sentinel Logs, clique em Funções e procure o alias ESETPROTECT e carregue o código da função ou clique aqui. A função geralmente leva de 10 a 15 minutos para ser ativada após a instalação/atualização da solução.
- Instalar e integrar o agente para Linux
Normalmente, você deve instalar o agente em um computador diferente daquele em que os logs são gerados.
Os logs do Syslog são coletados somente de agentes Linux .
- Configurar os logs a serem coletados
Configure as instalações que deseja coletar e suas gravidades.
Em Configurações avançadas do espaço de trabalho Configuração, selecione Dados e, em seguida, Syslog.
Selecione Aplicar configuração abaixo às minhas máquinas e selecione as instalações e gravidades. O recurso padrão do ESET PROTECT é o usuário.
Clique em Guardar.
Configurar o ESET PROTECT
Configure o ESET PROTECT para enviar todos os eventos através do Syslog.
Siga estas instruções para configurar a saída syslog. Certifique-se de selecionar BSD como o formato e TCP como o transporte.
Siga estas instruções para exportar todos os logs para o syslog. Selecione JSON como o formato de saída.
Nota:- Consulte a documentação para configurar o encaminhador de log para armazenamento local e em nuvem.
Próximos passos
Para obter mais informações, vá para a solução relacionada no Azure Marketplace.