[Preterido] Illumio Core via conector AMA para Microsoft Sentinel
Importante
A coleta de logs de muitos dispositivos e dispositivos agora é suportada pelo Common Event Format (CEF) via AMA, Syslog via AMA ou Custom Logs via conector de dados AMA no Microsoft Sentinel. Para obter mais informações, veja Localizar o conector de dados do Microsoft Sentinel.
O conector de dados Illumio Core fornece a capacidade de ingerir logs do Illumio Core no Microsoft Sentinel.
Trata-se de conteúdo gerado automaticamente. Para alterações, entre em contato com o provedor da solução.
Atributos do conector
| Atributo do conector | Description |
|---|---|
| Tabela(s) do Log Analytics | CommonSecurityLog (IllumioCore) |
| Suporte a regras de coleta de dados | Transformar DCR no espaço de trabalho |
| Apoiado por | Microsoft |
Exemplos de consulta
Os 10 principais tipos de eventos
IllumioCoreEvent
| where isnotempty(EventType)
| summarize count() by EventType
| top 10 by count_
Pré-requisitos
Para integrar com o Illumio Core [Preterido] via AMA, certifique-se de ter:
- : Para coletar dados de VMs que não sejam do Azure, elas devem ter o Azure Arc instalado e habilitado. Mais informações
- : Common Event Format (CEF) via AMA e Syslog via AMA conectores de dados devem ser instalados Saiba mais
Instruções de instalação do fornecedor
NOTA: Este conector de dados depende de um analisador baseado numa Função Kusto para funcionar como esperado, que é implementado como parte da solução. Para visualizar o código da função no Log Analytics, abra a folha Log Analytics/Microsoft Sentinel Logs, clique em Funções e procure o alias IllumioCoreEvent e carregue o código da função ou clique aqui. A função geralmente leva de 10 a 15 minutos para ser ativada após a instalação/atualização da solução e mapeia os eventos do Illumio Core para o Microsoft Sentinel Information Model (ASIM).
- Proteja a sua máquina
Certifique-se de configurar a segurança da máquina de acordo com a política de segurança da sua organização
Próximos passos
Para obter mais informações, vá para a solução relacionada no Azure Marketplace.