透過適用於 Microsoft Sentinel 的舊版代理程式連接器的 [已淘汰] Broadcom Symantec DLP
重要
許多設備與裝置的記錄收集現在都透過下列項目支援:透過 AMA 的常見事件格式 (CEF)、透過 AMA 的 Syslog,或透過 Microsoft Sentinel 中 AMA 資料連接器的自訂記錄。 如需詳細資訊,請參閱尋找您的 Microsoft Sentinel 資料連接器。
該 Broadcom Symantec 資料外洩防護 (DLP) 連接器可讓您輕鬆地將 Symantec DLP 與 Microsoft Sentinel 連線,以建立自訂儀表板、警示並改善調查。 這可讓您更深入了解組織的資訊及其流向,並提升安全性作業功能。
連接器屬性
| 連接器屬性 | 描述 |
|---|---|
| 記錄分析資料表 | CommonSecurityLog (SymantecDLP) |
| 資料收集規則支援 | 工作區轉換 DCR |
| 支援者: | Microsoft Corporation |
查詢範例
前 10 個觸發的活動
SymantecDLP
| summarize count() by Activity
| top 10 by count_
前 10 個檔案名稱
SymantecDLP
| summarize count() by FileName
| top 10 by count_
廠商安裝指示
注意:此資料連接器取決於以 Kusto 函式為基礎的剖析器,才能如預期般運作,其部署為解決方案的一部分。 若要在 Log Analytics 中檢視函式程式碼,請開啟 [Log Analytics/Microsoft Sentinel Logs] 刀鋒視窗、按一下 [Functions],然後搜尋別名 SymantecDLP 並載入函式程式碼,或按一下這裡。 在安裝/更新解決方案之後,此函式通常需要 10-15 分鐘才能啟動。
- Linux Syslog 代理程式的設定
安裝並設定 Linux 代理程式,以收集常見事件格式 (CEF) 的 Syslog 訊息,然後將這些訊息轉送至 Microsoft Sentinel。
請注意,所有區域的資料皆會儲存在選取的工作區中
1.1 選取或建立 Linux 電腦
選取或建立 Linux 機器,Microsoft Sentinel 將使用此機器作為安全性解決方案與 Microsoft Sentinel 之間的 Proxy。此機器可以在內部部署環境、Azure 或其他雲端中。
1.2 在 Linux 電腦上安裝 CEF 收集器
在 Linux 機器上安裝 Microsoft Monitoring Agent,並將該機器設定為在必要的連接埠上接聽訊息,然後將這些訊息轉送至 Microsoft Sentinel 工作區。 CEF 收集器會在連接埠 514 TCP 上收集 CEF 訊息。
- 請使用下列命令,以確保機器上有 Python:python -version。
- 您在機器上必須具有更高的權限 (sudo)。
請執行下列命令安裝及套用 CEF 收集器:
sudo wget -O cef_installer.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/CEF/cef_installer.py&&sudo python cef_installer.py {0} {1}
- 將 Symantec DLP 記錄轉送到 Syslog 代理程式
將 Symantec DLP 設定為透過 Syslog 代理程式,將 CEF 格式的 Syslog 訊息轉送至 Microsoft Sentinel 工作區。
請依照下列指示設定 Symantec DLP,以轉送 syslog
使用 Linux 裝置的 IP 位址或主機名稱,並將 Linux 代理程式安裝為目的地 IP 位址。
驗證連線
請遵循指示以驗證連線能力:
開啟 Log Analytics,檢查是否使用 CommonSecurityLog 結構描述接收記錄。
連線將資料串流至工作區可能需要大約 20 分鐘的時間。
若未收到記錄,請執行下列連線驗證指令碼:
- 請使用下列命令,以確保機器上有 Python:python -version
- 您在機器上必須具有更高的權限 (sudo)
請執行下列命令驗證連線能力:
sudo wget -O cef_troubleshoot.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/CEF/cef_troubleshoot.py&&sudo python cef_troubleshoot.py {0}
- 保護您的機器
請務必根據組織的安全性原則設定機器的安全性
下一步
如需詳細資訊,請移至 Azure Marketplace 中的相關解決方案 (英文)。