Konektor ESET PROTECT pro Microsoft Sentinel
Tento konektor shromažďuje všechny události generované softwarem ESET prostřednictvím centrálního řešení pro správu ESET PROTECT (dříve ESET Security Management Center). Patří sem detekce antivirů, detekce brány firewall, ale také pokročilejší detekce EDR. Úplný seznam událostí najdete v dokumentaci.
Jedná se o automaticky vygenerovaný obsah. Pokud potřebujete změny, obraťte se na poskytovatele řešení.
atributy Připojení oru
| atribut Připojení or | Popis |
|---|---|
| Tabulky Log Analytics | Syslog (ESETPROTECT) |
| Podpora pravidel shromažďování dat | Transformace pracovního prostoru – DCR |
| Podporováno | ESET Nizozemsko |
Ukázky dotazů
Události hrozby ESET
ESETPROTECT
| where EventType == 'Threat_Event'
| sort by TimeGenerated desc
Prvních 10 zjištěných hrozeb
ESETPROTECT
| where EventType == 'Threat_Event'
| summarize ThreatCount = count() by tostring(ThreatName)
| top 10 by ThreatCount
Události brány firewall ESET
ESETPROTECT
| where EventType == 'FirewallAggregated_Event'
| sort by TimeGenerated desc
Události hrozby ESET
ESETPROTECT
| where EventType == 'Threat_Event'
| sort by TimeGenerated desc
Události hrozeb ESET z ochrany systému souborů v reálném čase
ESETPROTECT
| where EventType == 'Threat_Event'
| where ScanId == 'Real-time file system protection'
| sort by TimeGenerated desc
Dotazování událostí hrozeb ESET ze skeneru na vyžádání
ESETPROTECT
| where EventType == 'Threat_Event'
| where ScanId == 'On-demand scanner'
| sort by TimeGenerated desc
Hlavní hostitelé podle počtu událostí hrozeb
ESETPROTECT
| where EventType == 'Threat_Event'
| summarize threat_events_count = count() by HostName
| sort by threat_events_count desc
Filtr webových stránek ESET
ESETPROTECT
| where EventType == 'FilteredWebsites_Event'
| sort by TimeGenerated desc
Události auditu SPOLEČNOSTI ESET
ESETPROTECT
| where EventType == 'Audit_Event'
| sort by TimeGenerated desc
Pokyny k instalaci dodavatele
POZNÁMKA: Tento datový konektor závisí na analyzátoru založeném na funkci Kusto, která funguje podle očekávání, která se nasadí jako součást řešení. Pokud chcete zobrazit kód funkce v Log Analytics, otevřete okno Protokoly Log Analytics nebo Microsoft Sentinelu, klikněte na Functions a vyhledejte alias ESETPROTECT a načtěte kód funkce nebo klikněte sem. Aktivace funkce obvykle trvá 10 až 15 minut po instalaci nebo aktualizaci řešení.
- Instalace a onboarding agenta pro Linux
Obvykle byste měli agenta nainstalovat do jiného počítače, než na kterém se protokoly generují.
Protokoly syslogu se shromažďují jenom z agentů Linuxu .
- Konfigurace protokolů, které se mají shromažďovat
Nakonfigurujte zařízení, která chcete shromažďovat, a jejich závažnosti.
V části Konfigurace upřesňujícího nastavení pracovního prostoru vyberte Data a potom Syslog.
Na moje počítače vyberte Použít následující konfiguraci a vyberte zařízení a závažnosti. Výchozí zařízení ESET PROTECT je uživatel.
Klikněte na Uložit.
Konfigurace ESET PROTECT
Nakonfigurujte ESET PROTECT tak, aby odesílala všechny události přes Syslog.
Podle těchto pokynů nakonfigurujte výstup syslogu. Nezapomeňte vybrat BSD jako formát a TCP jako přenos.
Pokud chcete exportovat všechny protokoly do syslogu, postupujte podle těchto pokynů . Jako výstupní formát vyberte JSON .
Poznámka:- Informace o nastavení nástroje pro předávání protokolů pro místní i cloudové úložiště najdete v dokumentaci .
Další kroky
Další informace najdete v souvisejícím řešení na Azure Marketplace.