[Recomendado] OSSEC via conector AMA para Microsoft Sentinel
O conector de dados OSSEC fornece a capacidade de ingerir eventos OSSEC no Microsoft Sentinel. Consulte a documentação do OSSEC para obter mais informações.
Atributos do conector
| Atributo do conector | Description |
|---|---|
| Tabela(s) do Log Analytics | CommonSecurityLog (OSSEC) |
| Suporte a regras de coleta de dados | Azure Monitor Agent DCR |
| Apoiado por | Corporação Microsoft |
Exemplos de consulta
Top 10 Regras
OSSECEvent
| summarize count() by RuleName
| top 10 by count_
Pré-requisitos
Para integrar com o OSSEC [Recomendado] via AMA, certifique-se de:
- : Para coletar dados de VMs que não sejam do Azure, elas devem ter o Azure Arc instalado e habilitado. Mais informações
- : Common Event Format (CEF) via AMA e Syslog via AMA conectores de dados devem ser instalados Saiba mais
Instruções de instalação do fornecedor
Nota
Esse conector de dados depende de um analisador baseado em uma função Kusto para funcionar conforme o esperado, que é implantado como parte da solução. Para visualizar o código da função no Log Analytics, abra a folha Log Analytics/Microsoft Sentinel Logs, clique em Funções e procure o alias OSSEC e carregue o código da função ou clique aqui, na segunda linha da consulta, insira o(s) nome(s) do(s) seu(s) dispositivo(s) OSSEC e quaisquer outros identificadores exclusivos para o fluxo de log. A função geralmente leva de 10 a 15 minutos para ser ativada após a instalação/atualização da solução.
- Proteja a sua máquina
Certifique-se de configurar a segurança da máquina de acordo com a política de segurança da sua organização
Próximos passos
Para obter mais informações, vá para a solução relacionada no Azure Marketplace.