Conector McAfee ePolicy Orchestrator (ePO) para Microsoft Sentinel
O conector de dados McAfee ePolicy Orchestrator permite ingerir eventos de ePO da McAfee no Microsoft Sentinel por meio do syslog.
Atributos do conector
Atributo do conector | Description |
---|---|
Alias de função do Kusto | McAfeeEPOEvent |
URL da função do Kusto | https://aka.ms/sentinel-McAfeeePO-parser |
Tabela(s) do Log Analytics | Syslog(McAfeeePO) |
Suporte às regras de coleta de dados | DCR de transformação do espaço de trabalho |
Com suporte por | Microsoft Corporation |
Exemplos de consulta
10 Principais Fontes
McAfeeEPOEvent
| summarize count() by DvcHostname
| top 10 by count_
Instruções de instalação do fornecedor
Esse conector de dados depende de um analisador baseado em uma função do Kusto para funcionar como esperado, o McAfeeEPOEvent, que é implantado com a Solução Microsoft Sentinel.
- Instalar e integrar o agente para Linux
De modo geral, você deve instalar o agente em um computador diferente daquele a partir do qual os logs são gerados.
Os logs do Syslog são coletados apenas junto a agentes do Linux.
- Configurar os logs a serem coletados
Configurar as facilidades que você deseja coletar e os respectivo níveis de gravidades.
- Nas definições da Configuração avançada do workspace, selecione Dados e, em seguida, Syslog.
- Selecione Aplicar a configuração abaixo às minhas máquinas e selecione as facilidades e níveis de gravidade.
- Clique em Salvar.
Próximas etapas
Para obter mais informações, acesse a solução relacionada no Azure Marketplace.