Microsoft Sentinel 用デジタル ガーディアン データ損失防止コネクタ
デジタル ガーディアン データ損失防止 (DLP) データ コネクタでは、デジタル ガーディアン DLP ログを Microsoft Sentinel に取り込む機能が提供されます。
コネクタの属性
| コネクタ属性 | 説明 |
|---|---|
| Log Analytics テーブル | Syslog (DigitalGuardianDLPEvent) |
| データ収集ルールのサポート | ワークスペース変換 DCR |
| サポートしているもの | Microsoft Corporation |
クエリのサンプル
上位 10 個のクライアント (ソース IP)
DigitalGuardianDLPEvent
| where notempty(SrcIpAddr)
| summarize count() by SrcIpAddr
| top 10 by count_
ベンダーのインストール手順
注意
このデータ コネクタは、Kusto 関数に基づくパーサーに依存して、Microsoft Sentinel ソリューションと共にデプロイされている DigitalGuardianDLPEvent を期待どおりに動作させます。
- Syslog 経由でエージェントをインストールするリモート サーバーにログを転送するようにデジタル ガーディアンを構成します。
Syslog を介してログを転送するようにデジタル ガーディアンを構成するには、これらの手順に従います。
1.1. デジタル ガーディアン管理コンソールにログインします。
1.2. [ワークスペース]>[データ エクスポート]>[エクスポートの作成] の順に選択します。
1.3. [データ ソース] リストから、データ ソースとして [アラート] または [イベント] を選択します。
1.4. [エクスポートの種類] リストから、[Syslog] を選択します。
1.5. [種類] リストから、トランスポート プロトコルとして [UDP] または [TCP] を選択します。
1.6. [サーバー] フィールドに、リモート Syslog サーバーの IP アドレスを入力します。
1.7. [ポート] フィールドに、「514」と入力します (Syslog サーバーが既定以外のポートを使用するように構成されている場合は、その他のポート)。
1.8. [重大度レベル] リストから、重大度レベルを選択します。
1.9. [アクティブ] チェック ボックスをオンにします。
1.9. [次へ] をクリックします。
1.10. 使用可能なフィールドのリストから、データ エクスポート用の [アラート] または [イベント] フィールドを追加します。
1.11. データ エクスポートのフィールドの [条件] を選択し、[次へ] をクリックします。
1.12. 条件のグループを選択し、[次へ] をクリックします。
1.13. [クエリのテスト] をクリックします。
1.14. [次へ] をクリックします。
1.15. データ エクスポートを保存します。
- Linux または Windows 用エージェントをインストールおよびオンボードする
ログの転送先のサーバーにエージェントをインストールします。
Linux または Windows サーバーのログは、Linux または Windows エージェントによって収集されます。
- Microsoft Sentinel でログを確認する
Log Analytics を開き、Syslog スキーマを使用してログが受信されているかどうかを確認します。
注: Syslog テーブルに新しいログが表示されるまでに最大 15 分かかる場合があります。
次の手順
詳細については、Azure Marketplace の関連ソリューションに関するページを参照してください。