Соединитель Pulse Подключение Secure для Microsoft Sentinel
Соединитель Pulse Подключение Secure позволяет легко подключать журналы Пульса Подключение Secure с помощью Microsoft Sentinel, просматривать панели мониторинга, создавать пользовательские оповещения и улучшать исследования. Интеграция Pulse Подключение Secure с Microsoft Sentinel обеспечивает более подробную информацию о сети вашей организации и улучшает возможности операций безопасности.
Это автоматически сформированное содержимое. Для изменений обратитесь к поставщику решений.
атрибуты Подключение or
Атрибут соединителя | Description |
---|---|
Таблицы Log Analytics | Syslog (Pulse Подключение Secure) |
Поддержка правил сбора данных | Преобразование DCR рабочей области |
Поддерживается | Корпорация Майкрософт |
Примеры запросов
Первые 10 неудачных имен входа пользователем
PulseConnectSecure
| where vpn_message startswith 'Login failed'
| summarize count() by vpn_user
| top 10 by count_
Первые 10 неудачных имен входа по IP-адресу
PulseConnectSecure
| where vpn_message startswith 'Login failed'
| summarize count() by client_ip
| top 10 by count_
Необходимые компоненты
Чтобы интегрироваться с Pulse Подключение Secure, убедитесь, что у вас есть:
- Пульс Подключение Secure: необходимо настроить экспорт журналов с помощью системного журнала.
Инструкции по установке поставщика
Примечание.
Этот соединитель данных зависит от средства синтаксического анализа на основе функции Kusto, которая должна работать должным образом, которая развертывается в рамках решения. Чтобы просмотреть код функции в Log Analytics, откройте колонку Log Analytics/Microsoft Sentinel Logs, щелкните "Функции" и найдите псевдоним Pulse Подключение Secure и загрузите код функции или щелкните здесь, в второй строке запроса, введите имена узлов для устройств Pulse Подключение Secure и любые другие уникальные идентификаторы для потока журналов. Функция обычно занимает 10–15 минут, чтобы активировать после установки или обновления решения.
- Установка и подключение агента для Linux
Обычно агент следует устанавливать не на том же компьютере, где создаются журналы.
Журналы системного журнала собираются только из агентов Linux .
- Настройка журналов для сбора
Настройте объекты, которые необходимо собрать, и соответствующие уровни серьезности.
В разделе "Конфигурация дополнительных параметров рабочей области" выберите "Данные" и "Системный журнал".
Выберите " Применить" на моих компьютерах и выберите объекты и серьезность.
Нажмите кнопку Сохранить.
Настройка и подключение Пульса Подключение Secure
Следуйте инструкциям, чтобы включить потоковую передачу системного журнала Пульса Подключение Безопасные журналы. Используйте IP-адрес или имя узла для устройства Linux с агентом Linux, установленным в качестве IP-адреса назначения.
Следующие шаги
Дополнительные сведения см. в связанном решении в Azure Marketplace.