Поделиться через


Соединитель NXLog LinuxAudit для Microsoft Sentinel

Соединитель данных NXLog LinuxAudit поддерживает пользовательские правила аудита и собирает журналы без аудита или любого другого программного обеспечения для пространства пользователя. IP-адреса и идентификаторы групп и пользователей разрешаются в соответствующие им имена, что делает журналы аудита Linux более читаемыми для аналитиков безопасности. Этот соединитель REST API может эффективно экспортировать события безопасности Linux в Microsoft Sentinel в режиме реального времени.

Это автоматически сформированное содержимое. Для изменений обратитесь к поставщику решений.

Атрибуты соединителя

Атрибут соединителя Description
Таблицы Log Analytics LinuxAudit_CL
Поддержка правил сбора данных В настоящий момент не поддерживается
Поддерживается NXLog

Примеры запросов

Наиболее частый тип

LinuxAudit_CL

| summarize EventCount = count() by type_s 

| where strlen(type_s) > 1 

| render barchart

Наиболее частые коммы

LinuxAudit_CL

| summarize EventCount = count() by comm_s

| where strlen(comm_s) > 1

| render barchart

Наиболее частое имя

LinuxAudit_CL

| summarize EventCount = count() by name_s

| where strlen(name_s) > 1

| render barchart

Инструкции по установке поставщика

Чтобы настроить этот соединитель, следуйте пошаговые инструкции в разделе интеграции с руководством пользователя NXLog в Microsoft Sentinel.

Следующие шаги

Дополнительные сведения см. в соответствующем решении.