[Recomendado] OSSEC a través del conector AMA para Microsoft Sentinel
El conector de datos de OSSEC proporciona la capacidad de ingerir eventos de OSSEC en Microsoft Sentinel. Consulte la documentación de OSSEC para obtener más información.
Atributos del conector
| Atributo del conector | Descripción |
|---|---|
| Tabla de Log Analytics | CommonSecurityLog (OSSEC) |
| Soporte de reglas de recopilación de datos | DCR del agente de Azure Monitor |
| Compatible con | Microsoft Corporation |
Ejemplos de consultas
10 reglas principales
OSSECEvent
| summarize count() by RuleName
| top 10 by count_
Requisitos previos
Para la integración con [recomendado] OSSEC a través de AMA, asegúrese de que tiene lo siguiente:
- ****: para recopilar datos de máquinas virtuales que no son de Azure, deben tener Azure Arc instalado y habilitado. Más información
- ****: Deben estar instalados los conectores de datos Formato de evento común (CEF) a través de AMA y Syslog a través de AMA. Más información
Instrucciones de instalación del proveedor
Nota
Este conector de datos depende de un analizador basado en una función de Kusto para que funcione según lo previsto, el cual se implementará como parte de la solución. Para ver el código de función en el análisis de registros, abra la hoja Registros de Log Analytics/Microsoft Sentinel, haga clic en Funciones, busque el alias OSSEC y cargue el código de la función o haga clic aquí. En la segunda línea de la consulta, escriba los nombres de host de los dispositivos OSSEC y cualquier otro identificador único para el flujo de registro. La función normalmente tardará entre 10 y 15 minutos en activarse después de la instalación o actualización de la solución.
- Proteja la máquina
Asegúrese de configurar la seguridad de la máquina de acuerdo con la directiva de seguridad de su organización.
Pasos siguientes
Para obtener más información, vaya a la solución relacionada en Azure Marketplace.