Соединитель защиты от потери данных Digital Guardian для Microsoft Sentinel
Соединитель данных digital Guardian Data Loss Prevention (DLP) предоставляет возможность приема журналов защиты от потери данных Digital Guardian в Microsoft Sentinel.
Это автоматически сформированное содержимое. Для изменений обратитесь к поставщику решений.
атрибуты Подключение or
| Атрибут соединителя | Description |
|---|---|
| Таблицы Log Analytics | Syslog (DigitalGuardianDLPEvent) |
| Поддержка правил сбора данных | Преобразование DCR рабочей области |
| Поддерживается | Корпорация Майкрософт |
Примеры запросов
Первые 10 клиентов (исходный IP-адрес)
DigitalGuardianDLPEvent
| where notempty(SrcIpAddr)
| summarize count() by SrcIpAddr
| top 10 by count_
Инструкции по установке поставщика
Примечание.
Этот соединитель данных зависит от средства синтаксического анализа на основе функции Kusto для работы, как ожидалось , DigitalGuardianDLPEvent , развернутой с помощью решения Microsoft Sentinel.
- Настройте Digital Guardian для пересылки журналов через Системный журнал на удаленный сервер, где будет установлен агент.
Выполните следующие действия, чтобы настроить Digital Guardian для пересылки журналов с помощью syslog:
1.1. Войдите в консоль управления Digital Guardian.
1.2. Выберите "Экспорт> данных рабочей области".>
1.3. В списке источников данных выберите "Оповещения " или "События " в качестве источника данных.
1.4. В списке типов экспорта выберите Syslog.
1.5. В списке типов выберите UDP или TCP в качестве транспортного протокола.
1.6. В поле "Сервер" введите IP-адрес сервера удаленного системного журнала.
1.7. В поле "Порт" введите 514 (или другой порт, если сервер Syslog настроен для использования порта, отличного от по умолчанию).
1.8. В списке уровней серьезности выберите уровень серьезности.
1.9. Выберите поле "Активный проверка".
1.9. Нажмите кнопку Далее.
1.10. В списке доступных полей добавьте поля оповещений или событий для экспорта данных.
1.11. Выберите критерии для полей экспорта данных и нажмите кнопку "Далее".
1.12. Выберите группу для условий и нажмите кнопку "Далее".
1.13. Нажмите кнопку " Тестовый запрос".
1.14. Нажмите кнопку Далее.
1.15. Сохраните экспорт данных.
- Установка и подключение агента для Linux или Windows
Установите агент на сервере, на который будут пересылаться журналы.
Журналы на серверах Linux или Windows собираются агентами Linux или Windows .
- Проверка журналов в Microsoft Sentinel
Откройте Log Analytics, чтобы проверка, если журналы получены с помощью схемы Syslog.
ПРИМЕЧАНИЕ. До появления новых журналов в таблице Syslog может потребоваться до 15 минут.
Следующие шаги
Дополнительные сведения см. в связанном решении в Azure Marketplace.