[Zalecane] Illumio Core za pośrednictwem łącznika AMA dla usługi Microsoft Sentinel
Łącznik danych Illumio Core zapewnia możliwość pozyskiwania dzienników Illumio Core do usługi Microsoft Sentinel.
atrybuty Połączenie or
atrybut Połączenie or | opis |
---|---|
Tabele usługi Log Analytics | CommonSecurityLog (IllumioCore) |
Obsługa reguł zbierania danych | DcR agenta usługi Azure Monitor |
Obsługiwane przez | Microsoft |
Przykłady zapytań
10 najważniejszych typów zdarzeń
IllumioCoreEvent
| where isnotempty(EventType)
| summarize count() by EventType
| top 10 by count_
Wymagania wstępne
Aby zintegrować aplikację [Zalecane] Illumio Core za pośrednictwem usługi AMA, upewnij się, że masz:
- : Aby zbierać dane z maszyn wirtualnych spoza platformy Azure, muszą mieć zainstalowaną i włączoną usługę Azure Arc. Dowiedz się więcej
- : Typowe formaty zdarzeń (CEF) za pośrednictwem usługi AMA i dziennika systemowego za pośrednictwem łączników danych usługi AMA muszą być zainstalowane Dowiedz się więcej
Instrukcje instalacji dostawcy
UWAGA: Ten łącznik danych zależy od analizatora opartego na funkcji Kusto działającej zgodnie z oczekiwaniami, która jest wdrażana w ramach rozwiązania. Aby wyświetlić kod funkcji w usłudze Log Analytics, otwórz blok Dzienniki usługi Log Analytics/Microsoft Sentinel, kliknij pozycję Funkcje i wyszukaj alias IllumioCoreEvent i załaduj kod funkcji lub kliknij tutaj. Aktywacja funkcji zwykle trwa 10–15 minut po zainstalowaniu/aktualizacji rozwiązania i mapowaniu zdarzeń Illumio Core na model informacyjny usługi Microsoft Sentinel (ASIM).
- Zabezpieczanie maszyny
Upewnij się, że skonfigurować zabezpieczenia maszyny zgodnie z zasadami zabezpieczeń organizacji
Następne kroki
Aby uzyskać więcej informacji, przejdź do powiązanego rozwiązania w witrynie Azure Marketplace.