Microsoft Sentinel için Symantec ProxySG bağlayıcısı
Symantec ProxySG, panoları görüntülemek, özel uyarılar oluşturmak ve araştırmalarınızı geliştirmek için Symantec ProxySG günlüklerinizi Microsoft Sentinel'e kolayca bağlamanıza olanak tanır. Symantec ProxySG'nin Microsoft Sentinel ile tümleştirilmesi, kuruluşunuzun ağ ara sunucusu trafiğine daha fazla görünürlük sağlar ve güvenlik izleme özelliklerini geliştirir.
Bu, otomatik olarak oluşturulan içeriktir. Değişiklikler için çözüm sağlayıcısına başvurun.
Bağlayıcı öznitelikleri
Bağlayıcı özniteliği | Açıklama |
---|---|
Log Analytics tabloları | Syslog (SymantecProxySG) |
Veri toplama kuralları desteği | Çalışma alanı dönüştürme DCR |
Destekleyen: | Microsoft Corporation |
Sorgu örnekleri
İlk 10 Reddedilen Kullanıcı
SymantecProxySG
| where sc_filter_result == 'DENIED'
| summarize count() by cs_userdn
| top 10 by count_
İlk 10 Reddedilen İstemci IP'leri
SymantecProxySG
| where sc_filter_result == 'DENIED'
| summarize count() by c_ip
| top 10 by count_
Önkoşullar
Symantec ProxySG ile tümleştirmek için aşağıdakilere sahip olduğunuzdan emin olun:
- Symantec ProxySG: Syslog aracılığıyla günlükleri dışarı aktaracak şekilde yapılandırılmalıdır
Satıcı yükleme yönergeleri
Not
Bu veri bağlayıcısı, çözümün bir parçası olarak dağıtılan kusto işlevinin beklendiği gibi çalışması için ayrıştırıcıya bağlıdır. İşlev kodunu Log Analytics'te görüntülemek için Log Analytics/Microsoft Sentinel Günlükleri dikey penceresini açın, İşlevler'e tıklayın ve Symantec Proxy SG diğer adını arayın ve işlev kodunu yükleyin veya buraya tıklayın; sorgunun ikinci satırında Symantec Proxy SG cihazlarınızın konak adlarını ve günlük akışının diğer benzersiz tanımlayıcılarını girin. Çözümün yüklenmesi/güncelleştirildikten sonra işlevin etkinleştirilmesi genellikle 10-15 dakika sürer.
- Linux için aracıyı yükleme ve ekleme
Genellikle aracıyı, günlüklerin oluşturulduğu bilgisayardan farklı bir bilgisayara yüklemeniz gerekir.
Syslog günlükleri yalnızca Linux aracılarından toplanır.
- Toplanacak günlükleri yapılandırma
Toplamak istediğiniz tesisleri ve önem derecelerini yapılandırın.
Çalışma alanı gelişmiş ayarları Yapılandırma'nın altında Veri'yi ve ardından Syslog'ı seçin.
Aşağıdaki yapılandırmayı makinelerime uygula'yı seçin ve tesisleri ve önem derecelerini seçin.
Kaydet'e tıklayın.
Symantec ProxySG'yi yapılandırma ve bağlama
Blue Coat Yönetim Konsolu'nda oturum açın.
Yapılandırma > Erişim Günlüğü > Biçimleri'ni seçin.
Yeni'yi seçin.
Biçim Adı alanına benzersiz bir ad girin.
Özel biçim dizesi için radyo düğmesine tıklayın ve aşağıdaki dizeyi alana yapıştırın.
1 $(date) $(time) $(time-taken) $(c-ip) $(cs-userdn) $(cs-auth-groups) $(x-exception-id) $(sc-filter-result) $(cs-categories) $(quot)$(cs(Referer))$(quot) $(sc-status) $(s-action) $(cs-method) $(quot)$(rs(Content-Type))$(quot) $(cs-uri-scheme) $(cs-host) $(cs-uri-port) $(cs-uri-path) $(cs-uri-query) $(cs-uri-extension) $(quot)$(cs(User-Agent))$(quot) $(s-ip) $(sr-bytes) $(rs-bytes) $(x-virus-id) $(x-bluecoat-application-name) $(x-bluecoat-application-operation) $(cs-uri-port) $(x-cs-client-ip-country) $(cs-threat-risk)
Tamam düğmesine tıklayın.
Uygula düğmesine tıklayın.
Erişim Günlüklerinin syslog akışını etkinleştirmek için bu yönergeleri izleyin. Hedef IP adresi olarak Linux aracısının yüklü olduğu Linux cihazının IP adresini veya ana bilgisayar adını kullanın
Sonraki adımlar
Daha fazla bilgi için Azure Market ilgili çözüme gidin.
Geri Bildirim
https://aka.ms/ContentUserFeedback.
Çok yakında: 2024 boyunca, içerik için geri bildirim mekanizması olarak GitHub Sorunları’nı kullanımdan kaldıracak ve yeni bir geri bildirim sistemiyle değiştireceğiz. Daha fazla bilgi için bkz.Gönderin ve geri bildirimi görüntüleyin