Microsoft Sentinel için ESET PROTECT bağlayıcısı
Bu bağlayıcı, merkezi yönetim çözümü ESET PROTECT (eski adıyla ESET Güvenlik Yönetim Merkezi) aracılığıyla ESET yazılımı tarafından oluşturulan tüm olayları toplar. Buna Virüsten Koruma algılamaları, Güvenlik duvarı algılamaları ve daha gelişmiş EDR algılamaları dahildir. Olayların tam listesi için lütfen belgelere bakın.
Bu, otomatik olarak oluşturulan içeriktir. Değişiklikler için çözüm sağlayıcısına başvurun.
Bağlan or öznitelikleri
| Bağlan or özniteliği | Açıklama |
|---|---|
| Log Analytics tabloları | Syslog (ESETPROTECT) |
| Veri toplama kuralları desteği | Çalışma alanı dönüştürme DCR |
| Destekleyen: | ESET Hollanda |
Sorgu örnekleri
ESET tehdit olayları
ESETPROTECT
| where EventType == 'Threat_Event'
| sort by TimeGenerated desc
İlk 10 algılanan tehdit
ESETPROTECT
| where EventType == 'Threat_Event'
| summarize ThreatCount = count() by tostring(ThreatName)
| top 10 by ThreatCount
ESET güvenlik duvarı olayları
ESETPROTECT
| where EventType == 'FirewallAggregated_Event'
| sort by TimeGenerated desc
ESET tehdit olayları
ESETPROTECT
| where EventType == 'Threat_Event'
| sort by TimeGenerated desc
Gerçek zamanlı dosya sistemi korumasından ESET tehdit olayları
ESETPROTECT
| where EventType == 'Threat_Event'
| where ScanId == 'Real-time file system protection'
| sort by TimeGenerated desc
İsteğe bağlı tarayıcıdan ESET tehdit olaylarını sorgulama
ESETPROTECT
| where EventType == 'Threat_Event'
| where ScanId == 'On-demand scanner'
| sort by TimeGenerated desc
Tehdit olaylarının sayısına göre en iyi konaklar
ESETPROTECT
| where EventType == 'Threat_Event'
| summarize threat_events_count = count() by HostName
| sort by threat_events_count desc
ESET web siteleri filtresi
ESETPROTECT
| where EventType == 'FilteredWebsites_Event'
| sort by TimeGenerated desc
ESET denetim olayları
ESETPROTECT
| where EventType == 'Audit_Event'
| sort by TimeGenerated desc
Satıcı yükleme yönergeleri
NOT: Bu veri bağlayıcısı, çözümün bir parçası olarak dağıtılan kusto işlevini temel alan ayrıştırıcının beklendiği gibi çalışmasına bağlıdır. İşlev kodunu Log Analytics'te görüntülemek için Log Analytics/Microsoft Sentinel Günlükleri dikey penceresini açın, İşlevler'e tıklayın, ESETPROTECT diğer adını arayın ve işlev kodunu yükleyin veya buraya tıklayın. Çözümün yüklenmesi/güncelleştirildikten sonra işlevin etkinleştirilmesi genellikle 10-15 dakika sürer.
- Linux için aracıyı yükleme ve ekleme
Genellikle aracıyı, günlüklerin oluşturulduğu bilgisayardan farklı bir bilgisayara yüklemeniz gerekir.
Syslog günlükleri yalnızca Linux aracılarından toplanır.
- Toplanacak günlükleri yapılandırma
Toplamak istediğiniz tesisleri ve önem derecelerini yapılandırın.
Çalışma alanı gelişmiş ayarları Yapılandırma'nın altında Veri'yi ve ardından Syslog'ı seçin.
Aşağıdaki yapılandırmayı makinelerime uygula'yı seçin ve tesisleri ve önem derecelerini seçin. Varsayılan ESET PROTECT tesisi kullanıcıdır.
Kaydet'e tıklayın.
ESET PROTECT'i yapılandırma
Tüm olayları Syslog aracılığıyla göndermek için ESET PROTECT'i yapılandırın.
Syslog çıkışını yapılandırmak için bu yönergeleri izleyin. Biçim olarak BSD ve aktarım olarak TCP'yi seçtiğinizden emin olun.
Tüm günlükleri syslog'a aktarmak için bu yönergeleri izleyin. Çıkış biçimi olarak JSON'ı seçin.
Not:- Hem yerel hem de bulut depolama için günlük ileticisini ayarlama belgelerine bakın.
Sonraki adımlar
Daha fazla bilgi için Azure Market ilgili çözüme gidin.
Geri Bildirim
Çok yakında: 2024 boyunca, içerik için geri bildirim mekanizması olarak GitHub Sorunları’nı kullanımdan kaldıracak ve yeni bir geri bildirim sistemiyle değiştireceğiz. Daha fazla bilgi için bkz. https://aka.ms/ContentUserFeedback.
Gönderin ve geri bildirimi görüntüleyin