[Не рекомендуется] Соединитель Pulse Connect Secure для Microsoft Sentinel
Внимание
Сбор журналов из многих устройств и устройств теперь поддерживается общим форматом событий (CEF) через AMA, Syslog через AMA или пользовательские журналы через соединитель данных AMA в Microsoft Sentinel. Дополнительные сведения см. в статье Поиск нужных соединителей данных Microsoft Sentinel.
Соединитель Pulse Connect Secure позволяет легко подключать журналы Pulse Connect Secure к Microsoft Sentinel, просматривать панели мониторинга, создавать пользовательские оповещения и улучшать исследования. Интеграция Pulse Connect Secure с Microsoft Sentinel обеспечивает более подробную информацию о сети вашей организации и улучшает возможности операций безопасности.
Это автоматически сформированное содержимое. Для изменений обратитесь к поставщику решений.
Атрибуты соединителя
| Атрибут соединителя | Description |
|---|---|
| Таблицы Log Analytics | Syslog (PulseConnectSecure) |
| Поддержка правил сбора данных | Преобразование DCR рабочей области |
| Поддерживается | Корпорация Майкрософт |
Примеры запросов
Первые 10 неудачных имен входа пользователем
PulseConnectSecure
| where vpn_message startswith 'Login failed'
| summarize count() by vpn_user
| top 10 by count_
Первые 10 неудачных имен входа по IP-адресу
PulseConnectSecure
| where vpn_message startswith 'Login failed'
| summarize count() by client_ip
| top 10 by count_
Необходимые компоненты
Чтобы интегрироваться с [не рекомендуется] Pulse Connect Secure убедитесь, что у вас есть:
- Pulse Connect Secure: необходимо настроить для экспорта журналов с помощью системного журнала
Инструкции по установке поставщика
Примечание.
Этот соединитель данных зависит от средства синтаксического анализа на основе функции Kusto, которая должна работать должным образом, которая развертывается в рамках решения. Чтобы просмотреть код функции в Log Analytics, откройте колонку Log Analytics/Microsoft Sentinel Logs, щелкните "Функции" и найдите псевдоним Pulse Connect Secure и загрузите код функции или щелкните здесь, во второй строке запроса введите имена узлов устройств Pulse Connect Secure и другие уникальные идентификаторы для потока журналов. Функция обычно занимает 10–15 минут, чтобы активировать после установки или обновления решения.
- Установка и подключение агента для Linux
Обычно агент следует устанавливать не на том же компьютере, где создаются журналы.
Журналы системного журнала собираются только из агентов Linux .
- Настройка журналов для сбора
Настройте объекты, которые необходимо собрать, и соответствующие уровни серьезности.
В разделе "Конфигурация дополнительных параметров рабочей области" выберите "Данные" и "Системный журнал".
Выберите " Применить" на моих компьютерах и выберите объекты и серьезность.
Нажмите кнопку Сохранить.
Настройка и подключение Pulse Connect Secure
Следуйте инструкциям , чтобы включить потоковую передачу системного журнала журналов Pulse Connect Secure. Используйте IP-адрес или имя узла для устройства Linux с агентом Linux, установленным в качестве IP-адреса назначения.
Следующие шаги
Дополнительные сведения см. в связанном решении в Azure Marketplace.