Microsoft Sentinel 用 Blackberry CylancePROTECT コネクタ

  • [アーティクル]

Blackberry CylancePROTECT コネクタを使用すると、CylancePROTECT ログを Microsoft Sentinel に簡単に接続できます。 これにより、組織のネットワークに関するより詳細な分析情報が得られ、セキュリティ運用機能が向上します。

コネクタの属性

コネクタ属性 説明
Log Analytics テーブル Syslog (CylancePROTECT)
データ収集ルールのサポート ワークスペース変換 DCR
サポートしているもの Microsoft Corporation

クエリのサンプル

上位 10 個のイベントの種類

CylancePROTECT​
         
| summarize count() by EventName
         
| top 10 by count_

上位 10 個のトリガーされたポリシー

CylancePROTECT​
         
| where EventType == "Threat" 
         
| summarize count() by PolicyName 
         
| top 10 by count_

前提条件

Blackberry CylancePROTECT と統合するには、次のことを確認してください。

  • CylancePROTECT: Syslog を使用してログをエクスポートするように構成する必要があります。

ベンダーのインストール手順

注意

このデータ コネクタは、ソリューションの一部としてデプロイされている Kusto 関数に基づくパーサーを利用して正常に動作します。 Log Analytics で関数コードを表示するには、[Log Analytics/Microsoft Sentinel ログ] ブレードを開き、[関数] をクリックし、エイリアス CyclanePROTECT を検索して関数コードを読み込みます。または、ここをクリックします。クエリの 2 行目で、CyclanePROTECT デバイスのホスト名とログストリームの他の一意の識別子を入力します。 この関数は、通常、ソリューションのインストール/更新後にアクティブ化されるまでに 10 から 15 分かかります。

  1. Linux 用エージェントをインストールおよびオンボードする

一般的に、エージェントは、ログが生成されるコンピューターとは別のコンピューターにインストールする必要があります。

Syslog ログは Linux エージェントからのみ収集されます。

  1. 収集するログを構成する

収集するファシリティとその重要度を構成します。

  1. 以下のリンクを選択してワークスペースの [エージェント構成] を開き、[Syslog] タブを選択します。

  2. [Add facility](ファシリティの追加) を選択し、ファシリティのドロップダウン リストから選択します。 追加するすべてのファシリティに対して繰り返します。

  3. 各ファシリティの必要な重大度のチェック ボックスをオンにします。

  4. [適用] をクリックします。

  5. CylancePROTECT を構成して接続する

Linux エージェントがインストールされている Linux デバイスの IP アドレスまたはホスト名を接続先 IP アドレスとして使用します。

次の手順

詳細については、Azure Marketplace の関連ソリューションに関するページを参照してください。