[Recomendado] Illumio Core via conector AMA para Microsoft Sentinel
O conector de dados Illumio Core fornece a capacidade de ingerir logs do Illumio Core no Microsoft Sentinel.
Atributos do conector
Atributo do conector | Description |
---|---|
Tabela(s) do Log Analytics | CommonSecurityLog (IllumioCore) |
Suporte a regras de coleta de dados | Azure Monitor Agent DCR |
Apoiado por | Microsoft |
Exemplos de consulta
Os 10 principais tipos de eventos
IllumioCoreEvent
| where isnotempty(EventType)
| summarize count() by EventType
| top 10 by count_
Pré-requisitos
Para integrar com o [Recomendado] Illumio Core via AMA, certifique-se de:
- : Para coletar dados de VMs que não sejam do Azure, elas devem ter o Azure Arc instalado e habilitado. Mais informações
- : Common Event Format (CEF) via AMA e Syslog via AMA conectores de dados devem ser instalados Saiba mais
Instruções de instalação do fornecedor
NOTA: Este conector de dados depende de um analisador baseado numa Função Kusto para funcionar como esperado, que é implementado como parte da solução. Para visualizar o código da função no Log Analytics, abra a folha Log Analytics/Microsoft Sentinel Logs, clique em Funções e procure o alias IllumioCoreEvent e carregue o código da função ou clique aqui. A função geralmente leva de 10 a 15 minutos para ser ativada após a instalação/atualização da solução e mapeia os eventos do Illumio Core para o Microsoft Sentinel Information Model (ASIM).
- Proteja a sua máquina
Certifique-se de configurar a segurança da máquina de acordo com a política de segurança da sua organização
Próximos passos
Para obter mais informações, vá para a solução relacionada no Azure Marketplace.
Comentários
https://aka.ms/ContentUserFeedback.
Brevemente: Ao longo de 2024, vamos descontinuar progressivamente o GitHub Issues como mecanismo de feedback para conteúdos e substituí-lo por um novo sistema de feedback. Para obter mais informações, veja:Submeter e ver comentários