Konektor ochrany před únikem informací služby Digital Guardian pro Microsoft Sentinel

  • Článek

Datový konektor ochrany před únikem informací (DLP) služby Digital Guardian poskytuje možnost ingestovat protokoly DLP služby Digital Guardian do Služby Microsoft Sentinel.

Jedná se o automaticky vygenerovaný obsah. Pokud potřebujete změny, obraťte se na poskytovatele řešení.

atributy Připojení oru

atribut Připojení or Popis
Tabulky Log Analytics Syslog (DigitalGuardianDLPEvent)
Podpora pravidel shromažďování dat Transformace pracovního prostoru – DCR
Podporováno Microsoft Corporation

Ukázky dotazů

Prvních 10 klientů (zdrojová IP adresa)

DigitalGuardianDLPEvent

| where notempty(SrcIpAddr)

| summarize count() by SrcIpAddr

| top 10 by count_

Pokyny k instalaci dodavatele

Poznámka:

Tento datový konektor závisí na analyzátoru založeném na funkci Kusto, která funguje podle očekávání DigitalGuardianDLPEvent , která se nasazuje s řešením Microsoft Sentinel.

  1. Nakonfigurujte Službu Digital Guardian tak, aby předávala protokoly přes Syslog na vzdálený server, kde nainstalujete agenta.

Při konfiguraci služby Digital Guardian pro předávání protokolů přes Syslog postupujte takto:

1.1. Přihlaste se ke konzole pro správu služby Digital Guardian.

1.2. Vyberte Možnost Export>dat pracovního prostoru>– Vytvořit export.

1.3. V seznamu Zdroje dat vyberte jako zdroj dat výstrahy nebo události.

1.4. V seznamu Typ exportu vyberte Syslog.

1.5. V seznamu Typ vyberte jako přenosový protokol UDP nebo TCP.

1.6. Do pole Server zadejte IP adresu vašeho vzdáleného serveru Syslog.

1.7. Do pole Port zadejte 514 (nebo jiný port, pokud byl server Syslog nakonfigurovaný tak, aby používal jiný než výchozí port).

1.8. V seznamu Úroveň závažnosti vyberte úroveň závažnosti.

1.9. Zaškrtněte políčko Je aktivní.

1.9. Klikněte na tlačítko Další.

1.10. Ze seznamu dostupných polí přidejte pole Výstraha nebo Událost pro export dat.

1.11. Vyberte kritéria pro pole v exportu dat a klikněte na Tlačítko Další.

1.12. Vyberte skupinu kritérií a klikněte na Další.

1.13. Klikněte na test dotazu.

1.14. Klikněte na tlačítko Další.

1.15. Uložte export dat.

  1. Instalace a onboarding agenta pro Linux nebo Windows

Nainstalujte agenta na server, do kterého se budou protokoly předávat.

Protokoly na serverech s Linuxem nebo Windows shromažďují agenti Linuxu nebo Windows .

  1. Kontrola protokolů v Microsoft Sentinelu

Otevřete Log Analytics a zkontrolujte, jestli se protokoly přijímají pomocí schématu Syslog.

POZNÁMKA: Než se nové protokoly zobrazí v tabulce Syslog, může to trvat až 15 minut.

Další kroky

Další informace najdete v souvisejícím řešení na Azure Marketplace.