Digital Guardian Data Loss Prevention-connector voor Microsoft Sentinel
De DLP-gegevensconnector (Digital Guardian Data Loss Prevention) biedt de mogelijkheid om Digital Guardian DLP-logboeken op te nemen in Microsoft Sentinel.
Dit is automatisch gegenereerde inhoud. Neem contact op met de provider van de oplossing voor wijzigingen.
Verbinding maken orkenmerken
| Verbinding maken orkenmerk | Beschrijving |
|---|---|
| Log Analytics-tabellen | Syslog (Digital AfgehandeldenDLPEvent) |
| Ondersteuning voor regels voor gegevensverzameling | DCR voor werkruimtetransformatie |
| Ondersteund door | Microsoft Corporation |
Voorbeelden van query's
Top 10 clients (bron-IP)
DigitalGuardianDLPEvent
| where notempty(SrcIpAddr)
| summarize count() by SrcIpAddr
| top 10 by count_
Installatie-instructies van leverancier
Notitie
Deze gegevensconnector is afhankelijk van een parser die is gebaseerd op een Kusto-functie, zodat deze werkt zoals verwacht DigitalOpgegevennDLPEvent dat is geïmplementeerd met de Microsoft Sentinel-oplossing.
- Configureer Digital Guardian om logboeken via Syslog door te sturen naar een externe server waar u de agent gaat installeren.
Volg deze stappen om Digital Guardian te configureren voor het doorsturen van logboeken via Syslog:
1.1. Meld u aan bij de Digital Guardian-beheerconsole.
1.2. Selecteer Export voor werkruimtegegevens>exporteren.>
1.3. Selecteer waarschuwingen of gebeurtenissen in de lijst met gegevensbronnen als de gegevensbron.
1.4. Selecteer Syslog in de lijst Exporttype.
1.5. Selecteer UDP of TCP in de lijst Type als transportprotocol.
1.6. Typ in het veld Server het IP-adres van uw externe Syslog-server.
1.7. Typ in het veld Poort 514 (of een andere poort als uw Syslog-server is geconfigureerd voor het gebruik van niet-standaardpoort).
1.8. Selecteer een ernstniveau in de lijst Ernstniveau .
1.9. Schakel het selectievakje Actief is in .
1.9. Klik op Volgende.
1.10. Voeg in de lijst met beschikbare velden waarschuwings- of gebeurtenisvelden toe voor uw gegevensexport.
1.11. Selecteer een criterium voor de velden in uw gegevensexport en klik op Volgende.
1.12. Selecteer een groep voor de criteria en klik op Volgende.
1.13. Klik op Testquery.
1.14. Klik op Volgende.
1.15. Sla de gegevensexport op.
- De agent voor Linux of Windows installeren en onboarden
Installeer de agent op de server waarop de logboeken worden doorgestuurd.
Logboeken op Linux- of Windows-servers worden verzameld door Linux- of Windows-agents.
- Logboeken controleren in Microsoft Sentinel
Open Log Analytics om te controleren of de logboeken worden ontvangen met behulp van het Syslog-schema.
OPMERKING: het kan tot 15 minuten duren voordat nieuwe logboeken worden weergegeven in de Syslog-tabel.
Volgende stappen
Ga naar de gerelateerde oplossing in Azure Marketplace voor meer informatie.