Conector MarkLogic Audit para o Microsoft Sentinel

  • Artigo

O conector de dados MarkLogic oferece a capacidade de ingerir logs do MarkLogicAudit no Microsoft Sentinel. Consulte a documentação do MarkLogic para saber mais.

Atributos do conector

Atributo do conector Description
Tabela(s) do Log Analytics MarkLogicAudit_CL
Suporte às regras de coleta de dados Sem suporte no momento
Com suporte por Microsoft Corporation

Exemplos de consulta

Todas as atividades do MarkLogicAudit.

MarkLogicAudit_CL

| sort by TimeGenerated desc

Instruções de instalação do fornecedor

OBSERVAÇÃO: Este conector de dados depende de um analisador baseado em uma Função Kusto para funcionar conforme o esperado, o que é implantado como parte da solução. Para exibir o código de função no Log Analytics, abra a folha Logs do Log Analytics/Microsoft Sentinel, clique em Funções, pesquise o alias MarkLogicAudit e carregue o código da função ou clique aqui. Na segunda linha da consulta, insira os nomes de host de seus dispositivos MarkLogicAudit e quaisquer outros identificadores exclusivos para o logstream. A função geralmente leva de 10 a 15 minutos para ser ativada após a instalação/atualização da solução.

  1. Instalar e integrar o agente para Linux ou Windows

Instale o agente no servidor Tomcat em que os logs são gerados.

Os logs do servidor do MarkLogic implantados em servidores Linux ou Windows são coletados por agentes do Linux ou do Windows.

  1. Configurar o MarkLogicAudit para habilitar a auditoria

Execute as seguintes etapas para habilitar a auditoria para um grupo:

Acesse a Interface de Administração com um navegador;

Abra a tela Configuração de auditoria (Grupos > group_name > Auditoria);

Selecione True para o botão de opção Auditoria habilitada;

Configure todos os eventos de auditoria e/ou as restrições de auditoria desejadas;

Clique em OK.

Confira a documentação do MarkLogic para obter mais detalhes

  1. Configurar os logs a serem coletados

Configure o diretório de log personalizado a ser coletado

  1. Selecione o link acima para abrir as configurações avançadas do seu espaço de trabalho
  2. No painel esquerdo, selecione Configurações, Logs personalizados e clique em +Adicionar log personalizado
  3. Clique em Procurar para carregar um exemplo de um arquivo de log do MarkLogicAudit. Em seguida, clique em Avançar >
  4. Selecione Carimbo de data/hora como o delimitador do registro e clique em Avançar >
  5. Selecione Windows ou Linux e insira o caminho para os logs do MarkLogicAudit com base na sua configuração
  6. Após ter inserido o caminho, clique no símbolo "+" para aplicar e, a seguir, clique em Avançar >
  7. Adicione MarkLogicAudit como Nome do log personalizado (o sufixo '_CL' será adicionado automaticamente) e clique em Concluído.

Validar a conectividade

Pode levar até 20 minutos para que os logs comecem a ser exibidos no Microsoft Sentinel.

Próximas etapas

Para obter mais informações, acesse a solução relacionada no Azure Marketplace.