[Не рекомендуется] Соединитель ESET PROTECT для Microsoft Sentinel
Внимание
Сбор журналов из многих устройств и устройств теперь поддерживается общим форматом событий (CEF) через AMA, Syslog через AMA или пользовательские журналы через соединитель данных AMA в Microsoft Sentinel. Дополнительные сведения см. в статье Поиск нужных соединителей данных Microsoft Sentinel.
Этот соединитель собирает все события, созданные программным обеспечением ESET, через централизованное решение ESET PROTECT (прежнее название — Центр управления безопасностью ESET). Это включает в себя обнаружения антивирусов, обнаружения брандмауэра, но и более сложные обнаружения EDR. Полный список событий см . в документации.
Это автоматически сформированное содержимое. Для изменений обратитесь к поставщику решений.
Атрибуты соединителя
Атрибут соединителя | Description |
---|---|
Таблицы Log Analytics | Syslog (ESETPROTECT) |
Поддержка правил сбора данных | Преобразование DCR рабочей области |
Поддерживается | ESET Нидерланды |
Примеры запросов
События угроз ESET
ESETPROTECT
| where EventType == 'Threat_Event'
| sort by TimeGenerated desc
Первые 10 обнаруженных угроз
ESETPROTECT
| where EventType == 'Threat_Event'
| summarize ThreatCount = count() by tostring(ThreatName)
| top 10 by ThreatCount
События брандмауэра ESET
ESETPROTECT
| where EventType == 'FirewallAggregated_Event'
| sort by TimeGenerated desc
События угроз ESET
ESETPROTECT
| where EventType == 'Threat_Event'
| sort by TimeGenerated desc
События угроз ESET из защиты файловой системы в режиме реального времени
ESETPROTECT
| where EventType == 'Threat_Event'
| where ScanId == 'Real-time file system protection'
| sort by TimeGenerated desc
Запрос событий угроз ESET из сканера по запросу
ESETPROTECT
| where EventType == 'Threat_Event'
| where ScanId == 'On-demand scanner'
| sort by TimeGenerated desc
Основные узлы по количеству событий угроз
ESETPROTECT
| where EventType == 'Threat_Event'
| summarize threat_events_count = count() by HostName
| sort by threat_events_count desc
Фильтр веб-сайтов ESET
ESETPROTECT
| where EventType == 'FilteredWebsites_Event'
| sort by TimeGenerated desc
События аудита ESET
ESETPROTECT
| where EventType == 'Audit_Event'
| sort by TimeGenerated desc
Инструкции по установке поставщика
ПРИМЕЧАНИЕ. Этот соединитель данных зависит от средства синтаксического анализа на основе функции Kusto, которая должна работать должным образом, которая развертывается в рамках решения. Чтобы просмотреть код функции в Log Analytics, откройте колонку Log Analytics/Microsoft Sentinel Logs, щелкните "Функции" и найдите псевдоним ESETPROTECT и загрузите код функции или щелкните здесь. Функция обычно занимает 10–15 минут, чтобы активировать после установки или обновления решения.
- Установка и подключение агента для Linux
Обычно агент следует устанавливать не на том же компьютере, где создаются журналы.
Журналы системного журнала собираются только из агентов Linux .
- Настройка журналов для сбора
Настройте объекты, которые необходимо собрать, и соответствующие уровни серьезности.
В разделе "Конфигурация дополнительных параметров рабочей области" выберите "Данные" и "Системный журнал".
Выберите " Применить" на моих компьютерах и выберите объекты и серьезность. По умолчанию используется средство ESET PROTECT.
Нажмите кнопку Сохранить.
Настройка ESET PROTECT
Настройте ESET PROTECT для отправки всех событий через Системный журнал.
Следуйте этим инструкциям , чтобы настроить выходные данные системного журнала. Обязательно выберите BSD в качестве формата и TCP в качестве транспорта.
Следуйте этим инструкциям , чтобы экспортировать все журналы в системный журнал. Выберите JSON в качестве формата выходных данных.
Примечание.. Сведения о настройке средства пересылки журналов для локального и облачного хранилища см. в документации .
Следующие шаги
Дополнительные сведения см. в связанном решении в Azure Marketplace.