Conector do ESET PROTECT para Microsoft Sentinel
Esse conector reúne todos os eventos gerados pelo software ESET por meio da solução de gerenciamento central ESET PROTECT (antiga ESET Security Management Center). Isso inclui detecções de antivírus, detecções de firewall, mas também detecções de EDR mais avançadas. Para obter uma lista completa de eventos, confira a documentação.
Atributos do conector
| Atributo do conector | Description |
|---|---|
| Tabela(s) do Log Analytics | Syslog (ESETPROTECT) |
| Suporte às regras de coleta de dados | DCR de transformação do espaço de trabalho |
| Com suporte por | ESET Países Baixos |
Exemplos de consulta
Eventos de ameaça do ESET
ESETPROTECT
| where EventType == 'Threat_Event'
| sort by TimeGenerated desc
Dez principais ameaças detectadas
ESETPROTECT
| where EventType == 'Threat_Event'
| summarize ThreatCount = count() by tostring(ThreatName)
| top 10 by ThreatCount
Eventos de firewall do ESET
ESETPROTECT
| where EventType == 'FirewallAggregated_Event'
| sort by TimeGenerated desc
Eventos de ameaça do ESET
ESETPROTECT
| where EventType == 'Threat_Event'
| sort by TimeGenerated desc
Eventos de ameaça do ESET da proteção do sistema de arquivos em tempo real
ESETPROTECT
| where EventType == 'Threat_Event'
| where ScanId == 'Real-time file system protection'
| sort by TimeGenerated desc
Consultar eventos de ameaça do ESET com o verificador sob demanda
ESETPROTECT
| where EventType == 'Threat_Event'
| where ScanId == 'On-demand scanner'
| sort by TimeGenerated desc
Principais hosts por número de eventos de ameaça
ESETPROTECT
| where EventType == 'Threat_Event'
| summarize threat_events_count = count() by HostName
| sort by threat_events_count desc
Filtro de sites do ESET
ESETPROTECT
| where EventType == 'FilteredWebsites_Event'
| sort by TimeGenerated desc
Eventos de auditoria do ESET
ESETPROTECT
| where EventType == 'Audit_Event'
| sort by TimeGenerated desc
Instruções de instalação do fornecedor
OBSERVAÇÃO: Este conector de dados depende de um analisador baseado em uma Função Kusto para funcionar conforme o esperado, o que é implantado como parte da solução. Para exibir o código da função no Log Analytics, abra a folha de Logs do Analytics/Logs do Microsoft Sentinel, clique em Funções, pesquise o alias ISCBind e carregue o código da função ou clique aqui. A função geralmente leva de 10 a 15 minutos para ser ativada após a instalação/atualização da solução.
- Instalar e integrar o agente para Linux
De modo geral, você deve instalar o agente em um computador diferente daquele a partir do qual os logs são gerados.
Os logs do Syslog são coletados apenas junto a agentes do Linux.
- Configurar os logs a serem coletados
Configurar as facilidades que você deseja coletar e os respectivo níveis de gravidades.
Nas definições da Configuração avançada do workspace, selecione Dados e, em seguida, Syslog.
Selecione Aplicar a configuração abaixo às minhas máquinas e selecione as facilidades e níveis de gravidade. O recurso ESET PROTECT padrão é user.
Clique em Salvar.
Configurar o ESET PROTECT
Configure o ESET PROTECT para enviar todos os eventos por meio do Syslog.
Siga estas instruções para configurar a saída do syslog. Selecione BSD como o formato e TCP como o transporte.
Siga estas instruções para exportar todos os logs para o syslog. Selecione JSON como o formato de saída.
Observação:- Consulte a documentação para configurar o encaminhador de log para o armazenamento local e na nuvem.
Próximas etapas
Para obter mais informações, acesse a solução relacionada no Azure Marketplace.