Konektor Symantec ProxySG pro Microsoft Sentinel

  • Článek

Služba Symantec ProxySG umožňuje snadno připojit protokoly Symantec ProxySG k Microsoft Sentinelu, zobrazit řídicí panely, vytvářet vlastní výstrahy a vylepšovat šetření. Integrace Symantec ProxySG se službou Microsoft Sentinel poskytuje lepší přehled o síťovém provozu proxy serveru vaší organizace a zlepší možnosti monitorování zabezpečení.

Jedná se o automaticky vygenerovaný obsah. Pokud potřebujete změny, obraťte se na poskytovatele řešení.

atributy Připojení oru

atribut Připojení or Popis
Tabulky Log Analytics Syslog (SymantecProxySG)
Podpora pravidel shromažďování dat Transformace pracovního prostoru – DCR
Podporováno Microsoft Corporation

Ukázky dotazů

Prvních 10 odepřených uživatelů

SymantecProxySG 

| where sc_filter_result == 'DENIED' 

| summarize count() by cs_userdn 

| top 10 by count_

Prvních 10 odepřených IP adres klientů

SymantecProxySG 

| where sc_filter_result == 'DENIED' 

| summarize count() by c_ip 

| top 10 by count_

Požadavky

Pokud chcete provést integraci se službou Symantec ProxySG, ujistěte se, že máte:

  • Symantec ProxySG: Musí být nakonfigurován pro export protokolů přes Syslog.

Pokyny k instalaci dodavatele

Poznámka:

Tento datový konektor závisí na analyzátoru založeném na funkci Kusto, která funguje podle očekávání, která se nasadí jako součást řešení. Pokud chcete zobrazit kód funkce v Log Analytics, otevřete okno Protokoly Služby Log Analytics nebo Microsoft Sentinelu, klikněte na Funkce a vyhledejte alias Symantec Proxy SG a načtěte kód funkce nebo klikněte sem, na druhém řádku dotazu zadejte názvy hostitelů vašich zařízení Symantec Proxy SG a další jedinečné identifikátory pro protokolový stream. Aktivace funkce obvykle trvá 10 až 15 minut po instalaci nebo aktualizaci řešení.

  1. Instalace a onboarding agenta pro Linux

Obvykle byste měli agenta nainstalovat do jiného počítače, než na kterém se protokoly generují.

Protokoly syslogu se shromažďují jenom z agentů Linuxu .

  1. Konfigurace protokolů, které se mají shromažďovat

Nakonfigurujte zařízení, která chcete shromažďovat, a jejich závažnosti.

  1. V části Konfigurace upřesňujícího nastavení pracovního prostoru vyberte Data a potom Syslog.

  2. Na moje počítače vyberte Použít následující konfiguraci a vyberte zařízení a závažnosti.

  3. Klikněte na Uložit.

  4. Konfigurace a připojení služby Symantec ProxySG

  5. Přihlaste se ke konzole pro správu Blue Coat .

  6. Vyberte Formáty protokolování přístupu > konfigurace>.

  7. Vyberte Nový.

  8. Do pole Formát názvu zadejte jedinečný název.

  9. Klikněte na přepínač pro řetězec vlastního formátu a vložte do pole následující řetězec.

1 $(date) $(time) $(time-taken) $(c-ip) $(cs-userdn) $(cs-auth-groups) $(x-exception-id) $(sc-filter-result) $(cs-categories) $(quot)$(cs(Referer))$(quot) $(sc-status) $(s-action) $(cs-method) $(quot)$(rs(Content-Type))$(quot) $(cs-uri-scheme) $(cs-host) $(cs-uri-port) $(cs-uri-path) $(cs-uri-query) $(cs-uri-extension) $(quot)$(cs(User-Agent))$(quot) $(s-ip) $(sr-bytes) $(rs-bytes) $(x-virus-id) $(x-bluecoat-application-name) $(x-bluecoat-application-operation) $(cs-uri-port) $(x-cs-client-ip-country) $(cs-threat-risk)

6. Klikněte na tlačítko **OK**. 7. Klikněte na tlačítko **Použít**. 8. [Postupujte podle těchto pokynů](https://knowledge.broadcom.com/external/article/166529/sending-access-logs-to-a-syslog-server.html) povolíte streamování syslogu protokolů **Access**. Použijte IP adresu nebo název hostitele pro zařízení s Linuxem s agentem Linuxu nainstalovaným jako cílovou IP adresu.

Další kroky

Další informace najdete v souvisejícím řešení na Azure Marketplace.