Соединитель Forescout для Microsoft Sentinel

Соединитель данных Forescout предоставляет возможность приема событий Forescout в Microsoft Sentinel. Дополнительные сведения см. в документации Forescout.

Это автоматически сформированное содержимое. Для изменений обратитесь к поставщику решений.

Атрибуты соединителя

Атрибут соединителя	Description
Таблицы Log Analytics	Syslog(ForescoutEvent)
Поддержка правил сбора данных	Преобразование DCR рабочей области
Поддерживается	Корпорация Майкрософт

Примеры запросов

Лучшие 10 источников

ForescoutEvent

| summarize count() by tostring(SrcIpAddr)

| top 10 by count_

Инструкции по установке поставщика

Примечание.

Этот соединитель данных зависит от средства синтаксического анализа на основе функции Kusto, которая должна работать должным образом, что ForescoutEvent развертывается с помощью решения Microsoft Sentinel.

Примечание.

Этот соединитель данных разработан с помощью подключаемого модуля Syslog Forescout: версии 3.6

1. Установка и подключение агента для Linux или Windows

Установите агент на сервере, где пересылаются журналы Forescout.

Журналы из сервера Forescout, развернутого на серверах Linux или Windows, собираются агентами Linux или Windows .

2. Настройка журналов для сбора

Настройте объекты, которые необходимо собрать, и соответствующие уровни серьезности.

1. В разделе "Конфигурация дополнительных параметров рабочей области" выберите "Данные" и "Системный журнал".

2. Выберите " Применить" на моих компьютерах и выберите объекты и серьезность.

3. Нажмите кнопку Сохранить.

4. Настройка пересылки событий Forescout

Выполните приведенные ниже действия по настройке, чтобы получить журналы Forescout в Microsoft Sentinel.

1. Выберите устройство для настройки.
2. Следуйте этим инструкциям , чтобы перенаправить оповещения с платформы Forescout на сервер системного журнала.
3. Настройте параметры на вкладке "Триггеры системного журнала".

Следующие шаги

Дополнительные сведения см. в связанном решении в Azure Marketplace.