Соединитель Symantec VIP для Microsoft Sentinel
Соединитель Symantec VIP позволяет легко подключать журналы ВИРТУАЛЬНЫх IP-адресов Symantec к Microsoft Sentinel, просматривать панели мониторинга, создавать пользовательские оповещения и улучшать исследование. В результате вы будете получать больше полезных сведений о сети организации и расширите свои возможности для обеспечения безопасности.
Это автоматически сформированное содержимое. Для изменений обратитесь к поставщику решений.
атрибуты Подключение or
| Атрибут соединителя | Description |
|---|---|
| Таблицы Log Analytics | Syslog (SymantecVIP) |
| Поддержка правил сбора данных | Преобразование DCR рабочей области |
| Поддерживается | Корпорация Майкрософт |
Примеры запросов
**Основные 10 причин сбоя проверки подлинности RADIUS **
SymantecVIP
| summarize count() by Reason
| top 10 by count_
Лучшие 10 пользователей
SymantecVIP
| summarize count() by User
| top 10 by count_
Необходимые компоненты
Чтобы интегрироваться с Symantec VIP, убедитесь, что у вас есть:
- Symantec VIP: необходимо настроить для экспорта журналов с помощью Syslog
Инструкции по установке поставщика
Примечание.
Этот соединитель данных зависит от средства синтаксического анализа на основе функции Kusto, которая должна работать должным образом, которая развертывается в рамках решения. Чтобы просмотреть код функции в Log Analytics, откройте колонку Log Analytics/Microsoft Sentinel Logs, щелкните "Функции" и найдите псевдоним Symantec VIP и загрузите код функции или щелкните здесь, во второй строке запроса введите имена узлов для устройств Symantec VIP и другие уникальные идентификаторы для потока журналов. Функция обычно занимает 10–15 минут, чтобы активировать после установки или обновления решения.
- Установка и подключение агента для Linux
Обычно агент следует устанавливать не на том же компьютере, где создаются журналы.
Журналы системного журнала собираются только из агентов Linux .
- Настройка журналов для сбора
Настройте объекты, которые необходимо собрать, и соответствующие уровни серьезности.
В разделе "Конфигурация дополнительных параметров рабочей области" выберите "Данные" и "Системный журнал".
Выберите " Применить" на моих компьютерах и выберите объекты и серьезность.
Нажмите кнопку Сохранить.
Настройка и подключение виртуального IP-адреса Symantec
Настройте шлюз Symantec VIP Enterprise Для пересылки системного журнала. Используйте IP-адрес или имя узла для устройства Linux с агентом Linux, установленным в качестве IP-адреса назначения.
Следующие шаги
Дополнительные сведения см. в связанном решении в Azure Marketplace.