Konektor Blackberry CylancePROTECT pro Microsoft Sentinel

  • Článek

Konektor Blackberry CylancePROTECT umožňuje snadno připojit protokoly CylancePROTECT s Microsoft Sentinelem. Tím získáte lepší přehled o síti vaší organizace a zlepšíte možnosti operací zabezpečení.

Jedná se o automaticky vygenerovaný obsah. Pokud potřebujete změny, obraťte se na poskytovatele řešení.

atributy Připojení oru

atribut Připojení or Popis
Tabulky Log Analytics Syslog (CylancePROTECT)
Podpora pravidel shromažďování dat Transformace pracovního prostoru – DCR
Podporováno Microsoft Corporation

Ukázky dotazů

Prvních 10 typů událostí

CylancePROTECT​
         
| summarize count() by EventName
         
| top 10 by count_

Prvních 10 aktivovaných zásad

CylancePROTECT​
         
| where EventType == "Threat" 
         
| summarize count() by PolicyName 
         
| top 10 by count_

Požadavky

Pokud chcete provést integraci s Blackberry CylancePROTECT, ujistěte se, že máte:

  • CylancePROTECT: Musí být nakonfigurované pro export protokolů přes Syslog.

Pokyny k instalaci dodavatele

Poznámka:

Tento datový konektor závisí na analyzátoru založeném na funkci Kusto, která funguje podle očekávání, která se nasadí jako součást řešení. Pokud chcete zobrazit kód funkce v Log Analytics, otevřete okno Protokoly Log Analytics nebo Microsoft Sentinelu, klikněte na Funkce a vyhledejte alias CyclanePROTECT a načtěte kód funkce nebo klikněte sem, na druhém řádku dotazu zadejte názvy hostitelů vašich zařízení CyclanePROTECT a všechny další jedinečné identifikátory pro logstream. Aktivace funkce obvykle trvá 10 až 15 minut po instalaci nebo aktualizaci řešení.

  1. Instalace a onboarding agenta pro Linux

Obvykle byste měli agenta nainstalovat do jiného počítače, než na kterém se protokoly generují.

Protokoly syslogu se shromažďují jenom z agentů Linuxu .

  1. Konfigurace protokolů, které se mají shromažďovat

Nakonfigurujte zařízení, která chcete shromažďovat, a jejich závažnosti.

  1. Výběrem následujícího odkazu otevřete konfiguraci agentů pracovního prostoru a vyberte kartu Syslog.

  2. Vyberte Přidat zařízení a vyberte z rozevíracího seznamu zařízení. Opakujte pro všechna zařízení, která chcete přidat.

  3. Zaškrtněte políčka pro požadované závažnosti jednotlivých zařízení.

  4. Klikněte na tlačítko Použit.

  5. Konfigurace a připojení CylancePROTECT

Podle těchto pokynů nakonfigurujte CylancePROTECT pro předávání syslogu. Použijte IP adresu nebo název hostitele pro zařízení s Linuxem s agentem Linuxu nainstalovaným jako cílovou IP adresu.

Další kroky

Další informace najdete v souvisejícím řešení na Azure Marketplace.