Microsoft Sentinel 用 Microsoft Sysmon For Linux コネクタ
Sysmon for Linux には、プロセスの作成、ネットワーク接続、およびその他のシステム イベントに関する詳細情報が用意されています。 [Sysmon for linux link:]。 Sysmon for Linux コネクタには、データ インジェスト方法として Syslog を使用します。 このソリューションは、ASIM を利用して期待どおりに動作します。 ASIM をデプロイして、ソリューションから完全な値を取得します。
コネクタの属性
| コネクタ属性 | 説明 |
|---|---|
| Log Analytics テーブル | Syslog (Sysmon) |
| データ収集ルールのサポート | ワークスペース変換 DCR |
| サポートしているもの | Microsoft Corporation |
クエリのサンプル
ActingProcessName による上位 10 件のイベント
vimProcessCreateLinuxSysmon
| summarize count() by ActingProcessName
| top 10 by count_
ベンダーのインストール手順
このデータ コネクタは、Kusto 関数に基づくパーサーを利用して期待どおりに動作します。 パーサーをデプロイする
次の関数がデプロイされます。
vimFileEventLinuxSysmonFileCreated、vimFileEventLinuxSysmonFileDeleted
vimProcessCreateLinuxSysmon、vimProcessTerminateLinuxSysmon
vimNetworkSessionLinuxSysmon
- Linux 用エージェントをインストールおよびオンボードする
一般的に、エージェントは、ログが生成されるコンピューターとは別のコンピューターにインストールする必要があります。
Syslog ログは Linux エージェントからのみ収集されます。
- 収集するログを構成する
収集するファシリティとその重要度を構成します。
- ワークスペースの詳細設定の [構成] で、[データ] を選択し、[Syslog] を選択します。
- [下の構成をコンピューターに適用する] を選択し、ファシリティと重要度を選択します。
- [保存] をクリックします。
次のステップ
詳細については、Azure Marketplace の関連ソリューションに関するページを参照してください。