Konektor Symantec ProxySG pro Microsoft Sentinel
Služba Symantec ProxySG umožňuje snadno připojit protokoly Symantec ProxySG k Microsoft Sentinelu, zobrazit řídicí panely, vytvářet vlastní výstrahy a vylepšovat šetření. Integrace Symantec ProxySG se službou Microsoft Sentinel poskytuje lepší přehled o síťovém provozu proxy serveru vaší organizace a zlepší možnosti monitorování zabezpečení.
Jedná se o automaticky vygenerovaný obsah. Pokud potřebujete změny, obraťte se na poskytovatele řešení.
atributy Připojení oru
atribut Připojení or | Popis |
---|---|
Tabulky Log Analytics | Syslog (SymantecProxySG) |
Podpora pravidel shromažďování dat | Transformace pracovního prostoru – DCR |
Podporováno | Microsoft Corporation |
Ukázky dotazů
Prvních 10 odepřených uživatelů
SymantecProxySG
| where sc_filter_result == 'DENIED'
| summarize count() by cs_userdn
| top 10 by count_
Prvních 10 odepřených IP adres klientů
SymantecProxySG
| where sc_filter_result == 'DENIED'
| summarize count() by c_ip
| top 10 by count_
Požadavky
Pokud chcete provést integraci se službou Symantec ProxySG, ujistěte se, že máte:
- Symantec ProxySG: Musí být nakonfigurován pro export protokolů přes Syslog.
Pokyny k instalaci dodavatele
Poznámka:
Tento datový konektor závisí na analyzátoru založeném na funkci Kusto, která funguje podle očekávání, která se nasadí jako součást řešení. Pokud chcete zobrazit kód funkce v Log Analytics, otevřete okno Protokoly Služby Log Analytics nebo Microsoft Sentinelu, klikněte na Funkce a vyhledejte alias Symantec Proxy SG a načtěte kód funkce nebo klikněte sem, na druhém řádku dotazu zadejte názvy hostitelů vašich zařízení Symantec Proxy SG a další jedinečné identifikátory pro protokolový stream. Aktivace funkce obvykle trvá 10 až 15 minut po instalaci nebo aktualizaci řešení.
- Instalace a onboarding agenta pro Linux
Obvykle byste měli agenta nainstalovat do jiného počítače, než na kterém se protokoly generují.
Protokoly syslogu se shromažďují jenom z agentů Linuxu .
- Konfigurace protokolů, které se mají shromažďovat
Nakonfigurujte zařízení, která chcete shromažďovat, a jejich závažnosti.
V části Konfigurace upřesňujícího nastavení pracovního prostoru vyberte Data a potom Syslog.
Na moje počítače vyberte Použít následující konfiguraci a vyberte zařízení a závažnosti.
Klikněte na Uložit.
Konfigurace a připojení služby Symantec ProxySG
Přihlaste se ke konzole pro správu Blue Coat .
Vyberte Formáty protokolování přístupu > konfigurace>.
Vyberte Nový.
Do pole Formát názvu zadejte jedinečný název.
Klikněte na přepínač pro řetězec vlastního formátu a vložte do pole následující řetězec.
1 $(date) $(time) $(time-taken) $(c-ip) $(cs-userdn) $(cs-auth-groups) $(x-exception-id) $(sc-filter-result) $(cs-categories) $(quot)$(cs(Referer))$(quot) $(sc-status) $(s-action) $(cs-method) $(quot)$(rs(Content-Type))$(quot) $(cs-uri-scheme) $(cs-host) $(cs-uri-port) $(cs-uri-path) $(cs-uri-query) $(cs-uri-extension) $(quot)$(cs(User-Agent))$(quot) $(s-ip) $(sr-bytes) $(rs-bytes) $(x-virus-id) $(x-bluecoat-application-name) $(x-bluecoat-application-operation) $(cs-uri-port) $(x-cs-client-ip-country) $(cs-threat-risk)
Další kroky
Další informace najdete v souvisejícím řešení na Azure Marketplace.