[已淘汰]透過適用于 Microsoft Sentinel 的舊版代理程式連接器,Broadcom Symantec DLP
Broadcom Symantec 資料外泄防護 (DLP) 連接器可讓您輕鬆地將 Symantec DLP 與 Microsoft Sentinel 連線,以建立自訂儀表板、警示及改善調查。 這可讓您更深入地瞭解組織的資訊、其移動位置,並改善安全性作業功能。
連線or 屬性
| 連線or 屬性 | 描述 |
|---|---|
| Log Analytics 資料表(s) | CommonSecurityLog (SymantecDLP) |
| 資料收集規則支援 | 工作區轉換 DCR |
| 支援者 | Microsoft Corporation |
查詢範例
前 10 個觸發的活動
SymantecDLP
| summarize count() by Activity
| top 10 by count_
前 10 名檔案名
SymantecDLP
| summarize count() by FileName
| top 10 by count_
廠商安裝指示
注意: 此資料連線器取決於以 Kusto 函式為基礎的剖析器,以如預期般運作,這會部署為解決方案的一部分。 若要在 Log Analytics 中檢視函式程式碼,請開啟 Log Analytics/Microsoft Sentinel Logs 刀鋒視窗,按一下 [函式],然後搜尋 SymantecDLP 別名並載入函式程式碼,或按一下 這裡 。 在解決方案安裝/更新之後,函式通常需要 10-15 分鐘才能啟動。
- Linux Syslog 代理程式設定
安裝並設定 Linux 代理程式以收集您的一般事件格式 (CEF) Syslog 訊息,並將其轉送至 Microsoft Sentinel。
請注意,所有區域的資料皆會儲存在選取的工作區中
1.1 選取或建立 Linux 電腦
選取或建立 Microsoft Sentinel 將作為安全性解決方案與 Microsoft Sentinel 之間 Proxy 的 Linux 電腦,此電腦可以位於內部部署環境、Azure 或其他雲端上。
1.2 在 Linux 電腦上安裝 CEF 收集器
在 Linux 電腦上安裝 Microsoft Monitoring Agent,並將機器設定為在必要的埠上接聽,並將訊息轉寄至您的 Microsoft Sentinel 工作區。 CEF 收集器會收集埠 514 TCP 上的 CEF 訊息。
- 請確定您有使用下列命令在電腦上的 Python:python –version。
- 您在機器上必須具有更高的權限 (sudo)。
請執行下列命令安裝及套用 CEF 收集器:
sudo wget -O cef_installer.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/CEF/cef_installer.py&&sudo python cef_installer.py {0} {1}
- 將 Symantec DLP 記錄轉送至 Syslog 代理程式
將 Symantec DLP 設定為透過 Syslog 代理程式將 CEF 格式的 Syslog 訊息轉送至您的 Microsoft Sentinel 工作區。
請遵循這些指示 ,將 Symantec DLP 設定為轉寄 syslog
使用 Linux 裝置的 IP 位址或主機名稱,並將 Linux 代理程式安裝為目的地 IP 位址。
驗證連線
請遵循指示來驗證您的連線能力:
開啟 Log Analytics 以檢查記錄是否使用 CommonSecurityLog 架構接收。
連線將資料串流至您的工作區可能需要大約 20 分鐘的時間。
如果未收到記錄,請執行下列連線驗證腳本:
- 使用下列命令確定您的電腦上有 Python:python –version
- 您必須在機器上擁有更高的許可權 (sudo)
執行下列命令來驗證您的連線能力:
sudo wget -O cef_troubleshoot.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/CEF/cef_troubleshoot.py&&sudo python cef_troubleshoot.py {0}
- 保護您的機器
請務必根據組織的安全性原則來設定電腦的安全性
下一步
如需詳細資訊,請移至 Azure Marketplace 中的相關解決方案 。