Łącznik mcAfee ePolicy Orchestrator (ePO) dla usługi Microsoft Sentinel
Łącznik danych programu McAfee ePolicy Orchestrator umożliwia pozyskiwanie zdarzeń mcAfee ePO do usługi Microsoft Sentinel za pośrednictwem dziennika systemowego.
Jest to automatycznie wygenerowana zawartość. W przypadku zmian skontaktuj się z dostawcą rozwiązania.
atrybuty Połączenie or
| atrybut Połączenie or | opis |
|---|---|
| Alias funkcji Kusto | McAfeeEPOEvent |
| Adres URL funkcji Kusto | https://aka.ms/sentinel-McAfeeePO-parser |
| Tabele usługi Log Analytics | Syslog(McAfeeePO) |
| Obsługa reguł zbierania danych | Przekształcanie obszaru roboczego DCR |
| Obsługiwane przez | Microsoft Corporation |
Przykłady zapytań
10 najlepszych źródeł
McAfeeEPOEvent
| summarize count() by DvcHostname
| top 10 by count_
Instrukcje instalacji dostawcy
Ten łącznik danych zależy od analizatora opartego na funkcji Kusto działającej zgodnie z oczekiwaniami mcAfeeEPOEvent , która jest wdrażana przy użyciu rozwiązania Microsoft Sentinel.
- Instalowanie i dołączanie agenta dla systemu Linux
Zazwyczaj należy zainstalować agenta na innym komputerze niż ten, na którym są generowane dzienniki.
Dzienniki dziennika systemowego są zbierane tylko z agentów systemu Linux .
- Konfigurowanie dzienników do zebrania
Skonfiguruj obiekty, które chcesz zbierać, i ich ważności.
W obszarze Konfiguracja ustawień zaawansowanych obszaru roboczego wybierz pozycję Dane, a następnie Pozycję Syslog.
Wybierz pozycję Zastosuj poniżej konfiguracji do moich maszyn i wybierz obiekty i ważność.
Kliknij przycisk Zapisz.
Konfigurowanie przekazywania zdarzeń programu McAfee ePolicy Orchestrator do serwera Syslog
Następne kroki
Aby uzyskać więcej informacji, przejdź do powiązanego rozwiązania w witrynie Azure Marketplace.