Поделиться через

[Не рекомендуется] Соединитель Blackberry CylancePROTECT для Microsoft Sentinel

  • Статья

Внимание

Сбор журналов из многих устройств и устройств теперь поддерживается общим форматом событий (CEF) через AMA, Syslog через AMA или пользовательские журналы через соединитель данных AMA в Microsoft Sentinel. Дополнительные сведения см. в статье Поиск нужных соединителей данных Microsoft Sentinel.

Соединитель Blackberry CylancePROTECT позволяет легко подключать журналы CylancePROTECT с помощью Microsoft Sentinel. В результате вы будете получать больше полезных сведений о сети организации и расширите свои возможности для обеспечения безопасности.

Это автоматически сформированное содержимое. Для изменений обратитесь к поставщику решений.

Атрибуты соединителя

Атрибут соединителя Description
Таблицы Log Analytics Syslog (CylancePROTECT)
Поддержка правил сбора данных Преобразование DCR рабочей области
Поддерживается Корпорация Майкрософт

Примеры запросов

Лучшие 10 типов событий

CylancePROTECT​
         
| summarize count() by EventName
         
| top 10 by count_

Первые 10 активированных политик

CylancePROTECT​
         
| where EventType == "Threat" 
         
| summarize count() by PolicyName 
         
| top 10 by count_

Необходимые компоненты

Чтобы интегрироваться с Blackberry CylancePROTECT, убедитесь, что у вас есть:

  • CylancePROTECT: необходимо настроить для экспорта журналов с помощью Системного журнала.

Инструкции по установке поставщика

Примечание.

Этот соединитель данных зависит от средства синтаксического анализа на основе функции Kusto, которая должна работать должным образом, которая развертывается в рамках решения. Чтобы просмотреть код функции в Log Analytics, откройте колонку Log Analytics/Microsoft Sentinel Logs, щелкните "Функции" и найдите псевдоним CyclanePROTECT и загрузите код функции или щелкните здесь, во второй строке запроса введите имена узлов устройств CyclanePROTECT и другие уникальные идентификаторы для потока журналов. Функция обычно занимает 10–15 минут, чтобы активировать после установки или обновления решения.

  1. Установка и подключение агента для Linux

Обычно агент следует устанавливать не на том же компьютере, где создаются журналы.

Журналы системного журнала собираются только из агентов Linux .

  1. Настройка журналов для сбора

Настройте объекты, которые необходимо собрать, и соответствующие уровни серьезности.

  1. Щелкните ссылку ниже, чтобы открыть конфигурацию агентов рабочей области и перейдите на вкладку "Системный журнал".

  2. Выберите Добавить устройство и выберите нужный вариант из раскрывающегося списка устройств. Повторите все объекты, которые вы хотите добавить.

  3. Пометьте флажки для требуемой серьезности для каждого объекта.

  4. Щелкните Применить.

  5. Настройка и подключение CylancePROTECT

Следуйте этим инструкциям , чтобы настроить CylancePROTECT для пересылки системного журнала. Используйте IP-адрес или имя узла для устройства Linux с агентом Linux, установленным в качестве IP-адреса назначения.

Следующие шаги

Дополнительные сведения см. в связанном решении в Azure Marketplace.