Microsoft Sentinel 用 Pulse Connect Secure コネクタ
Pulse Connect Secure コネクタを使うと、Microsoft Sentinel に Pulse Connect Secure ログを簡単に接続して、ダッシュ ボードを表示し、カスタム アラートを作成し、調査を向上させることができます。 Pulse Connect Secure と Microsoft Sentinel を統合することで、組織のネットワークに関するより詳細な分析情報が得られ、セキュリティ運用機能が向上します。
コネクタの属性
コネクタ属性 | 説明 |
---|---|
Log Analytics テーブル | Syslog (PulseConnectSecure) |
データ収集ルールのサポート | ワークスペース変換 DCR |
サポートしているもの | Microsoft Corporation |
クエリのサンプル
ユーザー別の上位 10 件の失敗したログイン
PulseConnectSecure
| where vpn_message startswith 'Login failed'
| summarize count() by vpn_user
| top 10 by count_
IP アドレス別の上位 10 件の失敗したログイン
PulseConnectSecure
| where vpn_message startswith 'Login failed'
| summarize count() by client_ip
| top 10 by count_
前提条件
Pulse Connect Secure と統合するには、以下が必要です。
- Pulse Connect Secure: Syslog を介してログをエクスポートするように構成する必要があります
ベンダーのインストール手順
注意
このデータ コネクタは、ソリューションの一部としてデプロイされている Kusto 関数に基づくパーサーを利用して正常に動作します。 Log Analytics で関数コードを表示するには、Log Analytics/Microsoft Sentinel ログ ブレードを開き、[関数] をクリックしてエイリアス Pulse Connect Secure を検索し、関数コードを読み込みます。クエリの 2 行目で、Pulse Connect Secure デバイスのホスト名と、ログストリームのその他の一意の識別子を入力します。 この関数は、通常、ソリューションのインストール/更新後にアクティブ化されるまでに 10 から 15 分かかります。
- Linux 用エージェントをインストールおよびオンボードする
一般的に、エージェントは、ログが生成されるコンピューターとは別のコンピューターにインストールする必要があります。
Syslog ログは Linux エージェントからのみ収集されます。
- 収集するログを構成する
収集するファシリティとその重要度を構成します。
- ワークスペースの詳細設定の [構成] で、[データ] を選択し、[Syslog] を選択します。
- [下の構成をコンピューターに適用する] を選択し、ファシリティと重要度を選択します。
- [保存] をクリックします。
次のステップ
詳細については、Azure Marketplace の関連ソリューションに関するページを参照してください。