[Recomendado] Illumio Core via conector AMA para Microsoft Sentinel
O conector de dados Illumio Core oferece a capacidade de ingerir logs do Illumio Core no Microsoft Sentinel.
Atributos do conector
Atributo do conector | Description |
---|---|
Tabela(s) do Log Analytics | CommonSecurityLog (IllumioCore) |
Suporte às regras de coleta de dados | DCR do Agente do Azure Monitor |
Com suporte por | Microsoft |
Exemplos de consulta
Dez principais tipos de eventos
IllumioCoreEvent
| where isnotempty(EventType)
| summarize count() by EventType
| top 10 by count_
Pré-requisitos
Para integrar com o [Recomendado] Illumio Core via AMA, verifique se você tem:
- ****: para coletar dados de VMs que não são do Azure, elas precisam ter o Azure Arc instalado e habilitado. Saiba mais
- ****: o CEF (Formato Comum de Evento) por meio do AMA e o Syslog por meio de conectores de dados do AMA devem ser instalados. Saiba mais
Instruções de instalação do fornecedor
OBSERVAÇÃO: Este conector de dados depende de um analisador baseado em uma Função Kusto para funcionar conforme o esperado, o que é implantado como parte da solução. Para exibir o código da função no Log Analytics, abra a folha Log Analytics/Logs do Microsoft Sentinel, clique em Funções e pesquise o alias IllumioCoreEvent e carregue o código da função ou clique aqui. Geralmente, a função leva de 10 a 15 minutos para ser ativada após a instalação/atualização da solução e mapeia eventos Illumio Core no Modelo de Informações do Microsoft Sentinel (ASIM).
- Proteja seu computador
Certifique-se de configurar a segurança do computador de acordo com a política de segurança da sua organização
Próximas etapas
Para obter mais informações, acesse a solução relacionada no Azure Marketplace.