Partilhar via

[Preterido] Conector da McAfee Network Security Platform para Microsoft Sentinel

  • Artigo

Importante

A coleta de logs de muitos dispositivos e dispositivos agora é suportada pelo Common Event Format (CEF) via AMA, Syslog via AMA ou Custom Logs via conector de dados AMA no Microsoft Sentinel. Para obter mais informações, veja Localizar o conector de dados do Microsoft Sentinel.

O conector de dados da McAfee® Network Security Platform oferece a capacidade de ingerir eventos da McAfee® Network Security Platform no Microsoft Sentinel. Consulte McAfee ® Network Security Platform para obter mais informações.

Trata-se de conteúdo gerado automaticamente. Para alterações, entre em contato com o provedor da solução.

Atributos do conector

Atributo do conector Description
Tabela(s) do Log Analytics Syslog (McAfeeNSPEvent)
Suporte a regras de coleta de dados Transformar DCR no espaço de trabalho
Apoiado por Corporação Microsoft

Exemplos de consulta

Top 10 Fontes

McAfeeNSPEvent

| summarize count() by tostring(DvcHostname)

| top 10 by count_

Instruções de instalação do fornecedor

Nota

Esse conector de dados depende de um analisador baseado em uma função Kusto para funcionar como esperado McAfeeNSPEvent que é implantado com a solução Microsoft Sentinel.

Nota

Este conector de dados foi desenvolvido usando a versão 10.1.x da McAfee® Network Security Platform:

  1. Instalar e integrar o agente para Linux ou Windows

Instale o agente no servidor para onde os logs da McAfee® Network Security Platform são encaminhados.

Os logs do McAfee® Network Security Platform Server implantados em servidores Linux ou Windows são coletados por agentes Linux ou Windows .

  1. Configurar o encaminhamento de eventos da McAfee® Network Security Platform

Siga as etapas de configuração abaixo para obter os logs da McAfee® Network Security Platform no Microsoft Sentinel.

  1. Siga estas instruções para encaminhar alertas do Manager para um servidor syslog.
  2. Adicione um perfil de notificação syslog, mais detalhes aqui. Isto é obrigatório. Ao criar o perfil, para se certificar de que os eventos estão formatados corretamente, digite o seguinte texto na caixa de texto Mensagem: :|SENSOR_ALERT_UUID|ALERT_TYPE|ATTACK_TIME|ATTACK_NAME|ATTACK_ID |ATTACK_SEVERITY|ATTACK_SIGNATURE|ATTACK_CONFIDENCE|ADMIN_DOMAIN|SENSOR_NAME|INTERFACE |SOURCE_IP|SOURCE_PORT|DESTINATION_IP|DESTINATION_PORT|CATEGORIA|SUB_CATEGORY |DIREÇÃO|RESULT_STATUS|DETECTION_MECHANISM|APPLICATION_PROTOCOL|NETWORK_PROTOCOL|

Próximos passos

Para obter mais informações, vá para a solução relacionada no Azure Marketplace.