Введение
Вы хотите отправлять данные журнала в формате Common Event Format (CEF) в рабочую область Microsoft Sentinel с помощью предоставленного соединителя данных.
Вы — аналитик по информационной безопасности и работаете в компании, которая внедрила Microsoft Sentinel. Вам необходимо собирать данные журналов от локальных сетевых устройств. Вы можете использовать соединитель Common Event Format, так как данные сетевых устройств предоставляются в структурированном формате.
Вы устанавливаете локальный узел Linux, который используется в качестве сервера пересылки для отправки данных журналов. Далее вам необходимо выполнить инструкции на странице соединителя Common Event Format, чтобы запустить скрипт развертывания на узле Linux. На последнем этапе выполняется настройка сетевых устройств для переадресации журналов на узел Linux. Теперь сетевые устройства отправляют журналы на новый узел Linux, а узел Linux переадресовывает эти журналы в рабочую область Microsoft Sentinel.
К концу этого модуля вы научитесь отправлять данные журналов Common Event Format (CEF) в рабочую область Microsoft Sentinel с помощью предоставленного соединителя данных.
По завершении этого модуля вы сможете:
- Обзор вариантов развертывания соединителя Common Event Format в Microsoft Sentinel.
- Запускать скрипт развертывания для соединителя CEF.
Необходимые компоненты
Базовые знания о таких концепциях функционирования, как мониторинг, ведение журнала и оповещения