[Preterido] Conector McAfee ePolicy Orchestrator (ePO) para Microsoft Sentinel
Importante
A coleta de logs de muitos dispositivos e dispositivos agora é suportada pelo Common Event Format (CEF) via AMA, Syslog via AMA ou Custom Logs via conector de dados AMA no Microsoft Sentinel. Para obter mais informações, veja Localizar o conector de dados do Microsoft Sentinel.
O conector de dados do McAfee ePolicy Orchestrator oferece a capacidade de ingerir eventos do McAfee ePO no Microsoft Sentinel por meio do syslog. Consulte a documentação para obter mais informações.
Trata-se de conteúdo gerado automaticamente. Para alterações, entre em contato com o provedor da solução.
Atributos do conector
| Atributo do conector | Description |
|---|---|
| Alias de função Kusto | McAfeeEPOEvent |
| URL da função Kusto | https://aka.ms/sentinel-McAfeeePO-parser |
| Tabela(s) do Log Analytics | Syslog(McAfeeePO) |
| Suporte a regras de coleta de dados | Transformar DCR no espaço de trabalho |
| Apoiado por | Corporação Microsoft |
Exemplos de consulta
Top 10 Fontes
McAfeeEPOEvent
| summarize count() by DvcHostname
| top 10 by count_
Instruções de instalação do fornecedor
Esse conector de dados depende de um analisador baseado em uma função Kusto para funcionar como esperado McAfeeEPOEvent que é implantado com a solução Microsoft Sentinel.
- Instalar e integrar o agente para Linux
Normalmente, você deve instalar o agente em um computador diferente daquele em que os logs são gerados.
Os logs do Syslog são coletados somente de agentes Linux .
- Configurar os logs a serem coletados
Configure as instalações que deseja coletar e suas gravidades.
Em Configurações avançadas do espaço de trabalho Configuração, selecione Dados e, em seguida, Syslog.
Selecione Aplicar configuração abaixo às minhas máquinas e selecione as instalações e gravidades.
Clique em Guardar.
Configurar o encaminhamento de eventos do McAfee ePolicy Orchestrator para o servidor Syslog
Siga estas instruções para adicionar o servidor syslog de registro.
Próximos passos
Para obter mais informações, vá para a solução relacionada no Azure Marketplace.