Conector Squid Proxy para Microsoft Sentinel
O conector Squid Proxy permite conectar facilmente os logs do Squid Proxy ao Microsoft Sentinel. Isso proporciona mais insights sobre o tráfego no proxy de rede da organização e aprimora as funcionalidades da operação de segurança.
Atributos do conector
| Atributo do conector | Description |
|---|---|
| Tabela(s) do Log Analytics | SquidProxy_CL |
| Suporte às regras de coleta de dados | Sem suporte no momento |
| Com suporte por | Microsoft Corporation |
Exemplos de consulta
10 principais resultados do proxy
SquidProxy
| where isnotempty(ResultCode)
| summarize count() by ResultCode
| top 10 by count_
10 principais hosts pares
SquidProxy
| where isnotempty(PeerHost)
| summarize count() by PeerHost
| top 10 by count_
Instruções de instalação do fornecedor
OBSERVAÇÃO: esse conector de dados depende de um analisador baseado em uma Função Kusto para funcionar conforme o esperado, o que é implantado como parte da solução. Para exibir o código de função no Log Analytics, abra a folha Log Analytics/Logs do Microsoft Sentinel, clique em Funções e pesquise o alias Squid Proxy e carregue o código da função ou clique aqui. Na segunda linha da consulta, insira os nomes de host dos dispositivos SquidProxy e quaisquer outros identificadores exclusivos para o logstream. A função geralmente leva de 10 a 15 minutos para ser ativada após a instalação/atualização da solução.
- Instalar e integrar o agente para Linux ou Windows
Instale o agente no servidor Squid Proxy no qual os logs são gerados.
Os logs do Squid Proxy implantados em servidores Linux ou Windows são coletados por agentes do Linux ou do Windows.
- Configurar os logs a serem coletados
Configure o diretório de log personalizado a ser coletado
- Selecione o link acima para abrir as configurações avançadas do seu espaço de trabalho
- No painel esquerdo, selecione Dados, selecione Logs Personalizados e clique em Adicionar+
- Clique em Procurar para carregar um exemplo de um arquivo de log do Squid Proxy (por exemplo, access.log ou cache.log). Em seguida, clique em Avançar >
- Selecione Nova Linha como o delimitador do registro e clique em Avançar >
- Selecione Windows ou Linux e insira o caminho para os logs do Squid Proxy. Os caminhos padrão são:
- Diretório do Windows:
C:\Squid\var\log\squid\*.log - Diretório do Linux:
/var/log/squid/*.log
- Após ter inserido o caminho, clique no símbolo "+" para aplicar e, a seguir, clique em Avançar >
- Adicione SquidProxy_CL como o nome do log personalizado e clique em Concluído
Próximas etapas
Para obter mais informações, acesse a solução relacionada no Azure Marketplace.