Microsoft Sentinel 用の AMA 経由 [推奨] Illumio Core コネクタ
Illumio Core データ コネクタは、Illumio Core のログを Microsoft Sentinel に取り込む機能を提供します。
コネクタの属性
| コネクタ属性 | 説明 |
|---|---|
| Log Analytics テーブル | CommonSecurityLog (IllumioCore) |
| データ収集ルールのサポート | Azure Monitor エージェントの DCR |
| サポートしているもの | Microsoft |
クエリのサンプル
上位 10 個のイベントの種類
IllumioCoreEvent
| where isnotempty(EventType)
| summarize count() by EventType
| top 10 by count_
前提条件
[推奨] AMA 経由 Illumio Core と統合する場合は、次のことを確認してください。
- ****: Azure 以外の VM からデータを収集するには、Azure Arc をインストールして有効にする必要があります。 詳細情報
- ****: Common Event Format (CEF) via AMA と Syslog via AMA の各データ コネクタをインストールする必要があります。詳細情報
ベンダーのインストール手順
注: このデータ コネクタは、ソリューションの一部としてデプロイされている Kusto 関数に基づくパーサーを利用して正常に動作します。 Log Analytics で関数コードを表示するには、[Log Analytics/Microsoft Sentinel Logs] (Log Analytics/Microsoft Sentinel ログ) ブレードを開き、[関数] をクリックしてエイリアス IllumioCoreEvent を検索し、関数コードを読み込むか、こちら をクリックします。通常、ソリューションのインストールまたは更新後、関数がアクティブ化されるまでに 10 分から 15 分かかり、Illumio Core のイベントが Microsoft Sentinel 情報モデル (ASIM) にマップされます。
- コンピューターをセキュリティで保護する
必ず、組織のセキュリティ ポリシーに従ってコンピューターのセキュリティを構成してください
次の手順
詳細については、Azure Marketplace の関連ソリューションに関するページを参照してください。