OSSEC [Recomendado] por meio do conector do AMA para o Microsoft Sentinel
O conector de dados OSSEC oferece a capacidade de ingerir eventos OSSEC no Microsoft Sentinel. Consulte a documentação do OSSEC para mais informações.
Atributos do conector
Atributo do conector | Description |
---|---|
Tabela(s) do Log Analytics | CommonSecurityLog (OSSEC) |
Suporte às regras de coleta de dados | DCR do Agente do Azure Monitor |
Com suporte por | Microsoft Corporation |
Exemplos de consulta
10 Regras Principais
OSSECEvent
| summarize count() by RuleName
| top 10 by count_
Pré-requisitos
Para integrar com o OSSEC [Recomendado] por meio do AMA, verifique se você tem:
- ****: para coletar dados de VMs que não são do Azure, elas precisam ter o Azure Arc instalado e habilitado. Saiba mais
- ****: o CEF (Formato Comum de Evento) por meio do AMA e o Syslog por meio de conectores de dados do AMA devem ser instalados. Saiba mais
Instruções de instalação do fornecedor
Observação
Este conector de dados depende de um analisador baseado em uma Função Kusto para funcionar conforme o esperado, que é implantado como parte da solução. Para exibir o código da função no Log Analytics, abra a folha Logs do Log Analytics/Microsoft Sentinel, clique em Funções e pesquise pelo alias OSSEC e carregue o código da função ou clique aqui, na segunda linha da consulta, insira os nomes de host de seus dispositivos OSSEC e quaisquer outros identificadores exclusivos para o fluxo de log. A função geralmente leva de 10 a 15 minutos para ser ativada após a instalação/atualização da solução.
- Proteja seu computador
Certifique-se de configurar a segurança do computador de acordo com a política de segurança da sua organização
Próximas etapas
Para obter mais informações, acesse a solução relacionada no Azure Marketplace.