Conector McAfee Network Security Platform para Microsoft Sentinel
O conector de dados do McAfee Network Security Platform fornece a capacidade de ingerir eventos do McAfee®® Network Security Platform no Microsoft Sentinel.
Atributos do conector
Atributo do conector | Description |
---|---|
Tabela(s) do Log Analytics | Syslog (McAfeeNSPEvent) |
Suporte às regras de coleta de dados | DCR de transformação do espaço de trabalho |
Com suporte por | Microsoft Corporation |
Exemplos de consulta
10 Principais Fontes
McAfeeNSPEvent
| summarize count() by tostring(DvcHostname)
| top 10 by count_
Instruções de instalação do fornecedor
Observação
Esse conector de dados depende de um analisador baseado em uma Função do Kusto para funcionar como esperado, o McAfeeNSPEvent, que é implantado com a Solução Microsoft Sentinel. Esse conector de dados foi desenvolvido usando a versão 10.1.x da McAfee® Network Security Platform
Instalar e integrar o agente para Linux ou Windows.
Instale o agente no servidor em que os logs do McAfee® Network Security Platform são encaminhados.
Os logs do servidor da McAfee® Network Security Platform implantados em servidores Linux ou Windows são coletados por agentes do Linux ou do Windows.
Configurar o encaminhamento de eventos da Plataforma de Segurança de Rede da McAfee®.
Siga as etapas de configuração abaixo para obter os logs da McAfee® Network Security Platform no Microsoft Sentinel.
Ao criar um perfil, para garantir que os eventos estejam formatados corretamente, insira o seguinte texto na caixa de texto Mensagem:
<SyslogAlertForwarderNSP>:|SENSOR_ALERT_UUID|ALERT_TYPE|ATTACK_TIME|ATTACK_NAME|ATTACK_ID |ATTACK_SEVERITY|ATTACK_SIGNATURE|ATTACK_CONFIDENCE|ADMIN_DOMAIN|SENSOR_NAME|INTERFACE |SOURCE_IP|SOURCE_PORT|DESTINATION_IP|DESTINATION_PORT|CATEGORY|SUB_CATEGORY |DIRECTION|RESULT_STATUS|DETECTION_MECHANISM|APPLICATION_PROTOCOL|NETWORK_PROTOCOL|
Próximas etapas
Para obter mais informações, acesse a solução relacionada no Azure Marketplace.