Conector do Microsoft Sysmon para Linux para Microsoft Sentinel
O Sysmon para Linux fornece informações detalhadas sobre criações de processo, conexões de rede e outros eventos do sistema. [Link do Sysmon para Linux:]. O conector do Sysmon para Linux usa o Syslog como método de ingestão de dados. Essa solução depende do ASIM para funcionar conforme o esperado. Implante o ASIM para obter o valor completo da solução.
Atributos do conector
Atributo do conector | Description |
---|---|
Tabela(s) do Log Analytics | Syslog (Sysmon) |
Suporte às regras de coleta de dados | DCR de transformação do espaço de trabalho |
Com suporte por | Microsoft Corporation |
Exemplos de consulta
Dez principais eventos por ActingProcessName
vimProcessCreateLinuxSysmon
| summarize count() by ActingProcessName
| top 10 by count_
Instruções de instalação do fornecedor
Esse conector de dados depende de analisadores ASIM baseados em uma função Kusto para funcionar conforme o esperado. Implantar os analisadores
As seguintes funções serão implantadas:
vimFileEventLinuxSysmonFileCreated, vimFileEventLinuxSysmonFileDeleted
vimProcessCreateLinuxSysmon, vimProcessTerminateLinuxSysmon
vimNetworkSessionLinuxSysmon
- Instalar e integrar o agente para Linux
De modo geral, você deve instalar o agente em um computador diferente daquele a partir do qual os logs são gerados.
Os logs do Syslog são coletados apenas junto a agentes do Linux.
- Configurar os logs a serem coletados
Configurar as facilidades que você deseja coletar e os respectivo níveis de gravidades.
- Nas definições da Configuração avançada do workspace, selecione Dados e, em seguida, Syslog.
- Selecione Aplicar a configuração abaixo às minhas máquinas e selecione as facilidades e níveis de gravidade.
- Clique em Salvar.
Próximas etapas
Para obter mais informações, acesse a solução relacionada no Azure Marketplace.