Konektor ISC Bind pro Microsoft Sentinel

  • Článek

Konektor ISC Bind umožňuje snadno připojit protokoly ISC Bind k Microsoft Sentinelu. Získáte tak lepší přehled o datech síťového provozu vaší organizace, dotazech DNS, statistikách provozu a vylepšení možností operací zabezpečení.

Jedná se o automaticky vygenerovaný obsah. Pokud potřebujete změny, obraťte se na poskytovatele řešení.

atributy Připojení oru

atribut Připojení or Popis
Tabulky Log Analytics Syslog (ISCBind)
Podpora pravidel shromažďování dat Transformace pracovního prostoru – DCR
Podporováno Microsoft Corporation

Ukázky dotazů

Dotazované prvních 10 domén

ISCBind 

| where EventSubType == "request" 

| summarize count() by DnsQuery 

| top 10 by count_

Prvních 10 klientů podle zdrojové IP adresy

ISCBind 

| where EventSubType == "request" 

| summarize count() by SrcIpAddr 

| top 10 by count_

Požadavky

Pokud chcete provést integraci se sadou ISC Bind, ujistěte se, že máte:

  • Vazba ISC: Musí být nakonfigurovaná tak, aby exportovala protokoly přes Syslog.

Pokyny k instalaci dodavatele

POZNÁMKA: Tento datový konektor závisí na analyzátoru založeném na funkci Kusto, která funguje podle očekávání, která se nasadí jako součást řešení. Pokud chcete zobrazit kód funkce v Log Analytics, otevřete okno Protokoly Log Analytics nebo Microsoft Sentinelu, klikněte na Funkce a vyhledejte alias ISCBind a načtěte kód funkce nebo klikněte sem. Aktivace funkce obvykle trvá 10 až 15 minut po instalaci nebo aktualizaci řešení.

  1. Instalace a onboarding agenta pro Linux

Obvykle byste měli agenta nainstalovat do jiného počítače, než na kterém se protokoly generují.

Protokoly syslogu se shromažďují jenom z agentů Linuxu .

  1. Konfigurace protokolů, které se mají shromažďovat

Nakonfigurujte zařízení, která chcete shromažďovat, a jejich závažnosti.

  1. V části Konfigurace upřesňujícího nastavení pracovního prostoru vyberte Data a potom Syslog.

  2. Na moje počítače vyberte Použít následující konfiguraci a vyberte zařízení a závažnosti.

  3. Klikněte na Uložit.

  4. Konfigurace a připojení vazby ISC

  5. Podle těchto pokynů nakonfigurujte vazbu ISC pro předávání syslogu:

  1. Nakonfigurujte Syslog tak, aby odesílal provoz Syslogu do agenta. Použijte IP adresu nebo název hostitele pro zařízení s Linuxem s agentem Linuxu nainstalovaným jako cílovou IP adresu.

Další kroky

Další informace najdete v souvisejícím řešení na Azure Marketplace.