[Рекомендуется] Illumio Core через соединитель AMA для Microsoft Sentinel
Соединитель данных Illumio Core предоставляет возможность приема журналов Illumio Core в Microsoft Sentinel.
атрибуты Подключение or
| Атрибут соединителя | Description |
|---|---|
| Таблицы Log Analytics | CommonSecurityLog (IllumioCore) |
| Поддержка правил сбора данных | DCR агента Azure Monitor |
| Поддерживается | Microsoft |
Примеры запросов
Лучшие 10 типов событий
IllumioCoreEvent
| where isnotempty(EventType)
| summarize count() by EventType
| top 10 by count_
Необходимые компоненты
Чтобы интегрироваться с [Рекомендуется] Illumio Core через AMA, убедитесь, что у вас есть:
- : для сбора данных из виртуальных машин, отличных от Azure, они должны быть установлены и включены в Azure Arc. Подробнее
- : общий формат событий (CEF) через AMA и Syslog через соединители данных AMA необходимо установить дополнительные сведения
Инструкции по установке поставщика
ПРИМЕЧАНИЕ. Этот соединитель данных зависит от средства синтаксического анализа на основе функции Kusto, которая должна работать должным образом, которая развертывается в рамках решения. Чтобы просмотреть код функции в Log Analytics, откройте колонку Log Analytics/Microsoft Sentinel Logs, щелкните "Функции" и найдите псевдоним IllumioCoreEvent и загрузите код функции или щелкните здесь. Обычно функция занимает 10–15 минут, чтобы активировать после установки или обновления решения и сопоставления событий Illumio Core с microsoft Sentinel Information Model (ASIM).
- Защита компьютера
Обязательно настройте безопасность компьютера в соответствии с политикой безопасности вашей организации.
Следующие шаги
Дополнительные сведения см. в связанном решении в Azure Marketplace.