Microsoft Sentinel 用 Squid Proxy コネクタ
Squid Proxy コネクタを使うと、Squid Proxy ログを Microsof Sentinel に簡単に接続できます。 これにより、組織のネットワーク プロキシ トラフィックに関するより詳細な分析情報が得られ、セキュリティ運用機能が向上します。
コネクタの属性
| コネクタ属性 | 説明 |
|---|---|
| Log Analytics テーブル | SquidProxy_CL |
| データ収集ルールのサポート | 現在、サポートされていません |
| サポートしているもの | Microsoft Corporation |
クエリのサンプル
上位 10 件のプロキシの結果
SquidProxy
| where isnotempty(ResultCode)
| summarize count() by ResultCode
| top 10 by count_
上位 10 件のピア ホスト
SquidProxy
| where isnotempty(PeerHost)
| summarize count() by PeerHost
| top 10 by count_
ベンダーのインストール手順
メモ: このデータ コネクタは、Kusto 関数に基づくパーサーに依存し、ソリューションの一部としてデプロイされる想定どおりに動作します。 Log Analytics で関数コードを表示するには、Log Analytics/Microsoft Sentinel ログ ブレードを開き、関数をクリックし、別名 Squid Proxy を検索して関数コードを読み込みます。または ここをクリックするか、クエリの 2 行目で Squid Proxy デバイスのホスト名と、ログストリームのその他の一意の識別子を入力します。 この関数は、通常、ソリューションのインストール/更新後にアクティブ化されるまでに 10 から 15 分かかります。
- Linux または Windows 用エージェントをインストールおよびオンボードする
ログが生成される Squid Proxy サーバーにエージェントをインストールします。
Linux または Windows サーバー上にデプロイされた Squid Proxy サーバーからのログは、Linux または Windows エージェントによって収集されます。
- 収集するログを構成する
収集するカスタム ログ ディレクトリを構成します
- 上のリンクを選び、ワークスペースの詳細設定を開きます
- 左ペインで [データ] を選び、[カスタム ログ] を選んで、[追加 +] をクリックします
- [参照] をクリックし、Squid Proxy ログ ファイルのサンプルをアップロードします (例: access.log、cache.log)。 次に、[次へ >] をクリックします
- レコード区切り記号として [改行] を選び、[次へ >] をクリックします
- [Windows] または [Linux] を選び、Squid Proxy ログのパスを入力します。 既定のパス:
- Windows ディレクトリ:
C:\Squid\var\log\squid\*.log - Linux ディレクトリ:
/var/log/squid/*.log
- パスを入力した後、'+' 記号をクリックして適用し、[次へ >] をクリックします
- 「SquidProxy_CL」をカスタム ログ名として追加し、[完了] をクリックします
次の手順
詳細については、Azure Marketplace の関連ソリューションに関するページを参照してください。