[已淘汰]Microsoft Sentinel 的 Symantec ProxySG 連接器
重要
許多設備與裝置的記錄收集現在都透過下列項目支援:透過 AMA 的常見事件格式 (CEF)、透過 AMA 的 Syslog,或透過 Microsoft Sentinel 中 AMA 資料連接器的自訂記錄。 如需詳細資訊,請參閱尋找您的 Microsoft Sentinel 資料連接器。
Symantec ProxySG 可讓您輕鬆地將 Symantec ProxySG 記錄與 Microsoft Sentinel 連線,以檢視儀錶板、建立自定義警示及改善調查。 Symantec ProxySG 與 Microsoft Sentinel 整合可提供您組織網路 Proxy 流量的更可見度,並增強安全性監視功能。
這是自動產生的內容。 如需變更,請連絡解決方案提供者。
連接器屬性
| 連接器屬性 | 描述 |
|---|---|
| 記錄分析資料表 | Syslog (SymantecProxySG) |
| 資料收集規則支援 | 工作區轉換 DCR |
| 支援者: | Microsoft Corporation |
查詢範例
前10名遭拒的使用者
SymantecProxySG
| where sc_filter_result == 'DENIED'
| summarize count() by cs_userdn
| top 10 by count_
前 10 名拒絕的用戶端 IP
SymantecProxySG
| where sc_filter_result == 'DENIED'
| summarize count() by c_ip
| top 10 by count_
必要條件
若要與 [已淘汰] Symantec ProxySG 整合,請確定您有:
- Symantec ProxySG:必須設定為透過 Syslog 導出記錄
廠商安裝指示
注意
此資料連接器取決於以 Kusto 函式為基礎的剖析器,才能如預期般運作,其部署為解決方案的一部分。 若要在 Log Analytics 中檢視函式程式代碼,請開啟 Log Analytics/Microsoft Sentinel Logs 刀鋒視窗,單擊 [函式],然後搜尋別名 Symantec Proxy SG 並載入函式程式代碼,或按兩下 這裡,在查詢的第二行輸入 Symantec Proxy SG 裝置的主機名(s),以及記錄數據流的任何其他唯一標識符。 在安裝/更新解決方案之後,函式通常需要 10-15 分鐘才能啟動。
- 安裝 Linux 代理程式並將其上線
在一般情況下,建議您將代理程式安裝在其他電腦上,而非在產生記錄用的電腦上。
Syslog 記錄只會從 Linux 代理程式收集。
- 設定要收集的記錄
設定您要收集的目標設施及其嚴重性。
在工作區進階設定的 [設定] 下方,選取 [資料],然後選取 [Syslog]。
選取 [在機器套用下列設定],然後選取設備及嚴重性。
按一下 [檔案] 。
設定及連線 Symantec ProxySG
登入 Blue Coat 管理控制台。
選取 [組態 > 存取記錄 > 格式]。
選取新增。
在 [格式名稱] 欄位中輸入唯一的名稱。
按兩下[自訂格式字串] 的單選按鈕,並將下列字串貼到欄位中。
1 $(date) $(time) $(time-taken) $(c-ip) $(cs-userdn) $(cs-auth-groups) $(x-exception-id) $(sc-filter-result) $(cs-categories) $(quot)$(cs(Referer))$(quot) $(sc-status) $(s-action) $(cs-method) $(quot)$(rs(Content-Type))$(quot) $(cs-uri-scheme) $(cs-host) $(cs-uri-port) $(cs-uri-path) $(cs-uri-query) $(cs-uri-extension) $(quot)$(cs(User-Agent))$(quot) $(s-ip) $(sr-bytes) $(rs-bytes) $(x-virus-id) $(x-bluecoat-application-name) $(x-bluecoat-application-operation) $(cs-uri-port) $(x-cs-client-ip-country) $(cs-threat-risk)
下一步
如需詳細資訊,請移至 Azure Marketplace 中的相關解決方案 (英文)。