Соединитель Exabeam Advanced Analytics для Microsoft Sentinel
Соединитель данных Exabeam Advanced Analytics предоставляет возможность приема событий Расширенной аналитики Exabeam в Microsoft Sentinel. Дополнительные сведения см. в документации по Exabeam Advanced Analytics.
Это автоматически сформированное содержимое. Для изменений обратитесь к поставщику решений.
атрибуты Подключение or
| Атрибут соединителя | Description |
|---|---|
| Таблицы Log Analytics | Syslog (Exabeam) |
| Поддержка правил сбора данных | Преобразование DCR рабочей области |
| Поддерживается | Корпорация Майкрософт |
Примеры запросов
Первые 10 клиентов (исходный IP-адрес)
ExabeamEvent
| summarize count() by SrcIpAddr
| top 10 by count_
Инструкции по установке поставщика
Примечание.
Этот соединитель данных зависит от средства синтаксического анализа на основе функции Kusto, которая должна работать должным образом, которая развертывается в рамках решения. Чтобы просмотреть код функции в Log Analytics, откройте колонку Log Analytics/Microsoft Sentinel Logs, щелкните "Функции" и найдите псевдоним Exabeam Advanced Analytics и загрузите код функции или щелкните здесь, в второй строке запроса, введите имя узла устройства Advanced Analytics Exabeam и другие уникальные идентификаторы для потока журналов. Функция обычно занимает 10–15 минут, чтобы активировать после установки или обновления решения.
Примечание.
Этот соединитель данных разработан с помощью Exabeam Advanced Analytics i54 (Syslog)
- Установка и подключение агента для Linux или Windows
Установите агент на сервере, на котором создаются или перенаправляются журналы Расширенной аналитики Exabeam.
Журналы из Exabeam Advanced Analytic, развернутые на серверах Linux или Windows, собираются агентами Linux или Windows .
- Настройка журналов для сбора
Настройка настраиваемого каталога журнала для сбора
- Настройка перенаправления событий Exabeam в Системный журнал
Следуйте этим инструкциям , чтобы отправить данные журнала действий Advanced Analytics Exabeam через системный журнал.
Следующие шаги
Дополнительные сведения см. в связанном решении в Azure Marketplace.