[Не рекомендуется] Соединитель Symantec ProxySG для Microsoft Sentinel
Внимание
Сбор журналов из многих устройств и устройств теперь поддерживается общим форматом событий (CEF) через AMA, Syslog через AMA или пользовательские журналы через соединитель данных AMA в Microsoft Sentinel. Дополнительные сведения см. в статье Поиск нужных соединителей данных Microsoft Sentinel.
Symantec ProxySG позволяет легко подключать журналы Symantec ProxySG к Microsoft Sentinel, просматривать панели мониторинга, создавать пользовательские оповещения и улучшать исследования. Интеграция Symantec ProxySG с Microsoft Sentinel обеспечивает большую видимость сетевого прокси-трафика вашей организации и повышает возможности мониторинга безопасности.
Это автоматически сформированное содержимое. Для изменений обратитесь к поставщику решений.
Атрибуты соединителя
Атрибут соединителя | Description |
---|---|
Таблицы Log Analytics | Syslog (SymantecProxySG) |
Поддержка правил сбора данных | Преобразование DCR рабочей области |
Поддерживается | Корпорация Майкрософт |
Примеры запросов
Первые 10 запрещенных пользователей
SymantecProxySG
| where sc_filter_result == 'DENIED'
| summarize count() by cs_userdn
| top 10 by count_
Первые 10 ip-адресов отказано в клиентах
SymantecProxySG
| where sc_filter_result == 'DENIED'
| summarize count() by c_ip
| top 10 by count_
Необходимые компоненты
Чтобы интегрироваться с Symantec ProxySG, убедитесь, что у вас есть:
- Symantec ProxySG: необходимо настроить экспорт журналов с помощью Системного журнала.
Инструкции по установке поставщика
Примечание.
Этот соединитель данных зависит от средства синтаксического анализа на основе функции Kusto, которая должна работать должным образом, которая развертывается в рамках решения. Чтобы просмотреть код функции в Log Analytics, откройте колонку Log Analytics/Microsoft Sentinel Logs, щелкните "Функции" и найдите псевдоним Symantec Proxy SG и загрузите код функции или щелкните здесь, в второй строке запроса введите имя узла устройства Symantec Proxy SG и другие уникальные идентификаторы для потока журналов. Функция обычно занимает 10–15 минут, чтобы активировать после установки или обновления решения.
- Установка и подключение агента для Linux
Обычно агент следует устанавливать не на том же компьютере, где создаются журналы.
Журналы системного журнала собираются только из агентов Linux .
- Настройка журналов для сбора
Настройте объекты, которые необходимо собрать, и соответствующие уровни серьезности.
В разделе "Конфигурация дополнительных параметров рабочей области" выберите "Данные" и "Системный журнал".
Выберите " Применить" на моих компьютерах и выберите объекты и серьезность.
Нажмите кнопку Сохранить.
Настройка и подключение Symantec ProxySG
Войдите в консоль управления Blue Coat.
Выберите форматы ведения журнала > доступа к конфигурации>.
Выберите Создать.
Введите уникальное имя в поле "Имя формата".
Нажмите переключатель для строки настраиваемого формата и вставьте следующую строку в поле.
1 $(date) $(time) $(time-taken) $(c-ip) $(cs-userdn) $(cs-auth-groups) $(x-exception-id) $(sc-filter-result) $(cs-categories) $(quot)$(cs(Referer))$(quot) $(sc-status) $(s-action) $(cs-method) $(quot)$(rs(Content-Type))$(quot) $(cs-uri-scheme) $(cs-host) $(cs-uri-port) $(cs-uri-path) $(cs-uri-query) $(cs-uri-extension) $(quot)$(cs(User-Agent))$(quot) $(s-ip) $(sr-bytes) $(rs-bytes) $(x-virus-id) $(x-bluecoat-application-name) $(x-bluecoat-application-operation) $(cs-uri-port) $(x-cs-client-ip-country) $(cs-threat-risk)
Следующие шаги
Дополнительные сведения см. в связанном решении в Azure Marketplace.