Conector Symantec ProxySG para Microsoft Sentinel

  • Artigo

O Symantec ProxySG permite conectar facilmente os logs do Symantec ProxySG ao Microsoft Sentinel para exibir painéis, criar alertas personalizados e melhorar a investigação. A integração do Symantec ProxySG ao Microsoft Sentinel aumenta a visibilidade sobre o tráfego de proxy de rede da organização e aprimora os recursos de monitoramento de segurança.

Atributos do conector

Atributo do conector Description
Tabela(s) do Log Analytics Syslog (SymantecProxySG)
Suporte às regras de coleta de dados DCR de transformação do espaço de trabalho
Com suporte por Microsoft Corporation

Exemplos de consulta

10 principais usuários negados

SymantecProxySG 

| where sc_filter_result == 'DENIED' 

| summarize count() by cs_userdn 

| top 10 by count_

10 principais IPs de cliente negados

SymantecProxySG 

| where sc_filter_result == 'DENIED' 

| summarize count() by c_ip 

| top 10 by count_

Pré-requisitos

Para fazer a integração com o Symantec ProxySG, verifique se você tem:

  • Symantec ProxySG: precisa ser configurado para exportar logs por meio do Syslog

Instruções de instalação do fornecedor

Observação

Este conector de dados depende de um analisador baseado em uma Função Kusto para funcionar conforme o esperado, que é implantado como parte da solução. Para exibir o código de função no Log Analytics, abra a folha Log Analytics/Logs do Microsoft Sentinel, clique em Funções e pesquise pelo alias Symantec Proxy SG e carregue o código da função ou clique aqui, na segunda linha da consulta, insira os nomes de host dos dispositivos Symantec Proxy SG e quaisquer outros identificadores exclusivos para o fluxo de log. A função geralmente leva de 10 a 15 minutos para ser ativada após a instalação/atualização da solução.

  1. Instalar e integrar o agente para Linux

De modo geral, você deve instalar o agente em um computador diferente daquele a partir do qual os logs são gerados.

Os logs do Syslog são coletados apenas junto a agentes do Linux.

  1. Configurar os logs a serem coletados

Configurar as facilidades que você deseja coletar e os respectivo níveis de gravidades.

  1. Nas definições da Configuração avançada do workspace, selecione Dados e, em seguida, Syslog.

  2. Selecione Aplicar a configuração abaixo às minhas máquinas e selecione as facilidades e níveis de gravidade.

  3. Clique em Salvar.

  4. Configurar e conectar o Symantec ProxySG

  5. Entre no Console de Gerenciamento do Blue Coat.

  6. Selecione Configuração > Logs de acesso > Formatos.

  7. Selecione Novo.

  8. Insira um nome exclusivo no campo Nome do Formato.

  9. Clique no botão de opção para Cadeia de caracteres de formato personalizado e cole a cadeia de caracteres a seguir no campo.

1 $(date) $(time) $(time-taken) $(c-ip) $(cs-userdn) $(cs-auth-groups) $(x-exception-id) $(sc-filter-result) $(cs-categories) $(quot)$(cs(Referer))$(quot) $(sc-status) $(s-action) $(cs-method) $(quot)$(rs(Content-Type))$(quot) $(cs-uri-scheme) $(cs-host) $(cs-uri-port) $(cs-uri-path) $(cs-uri-query) $(cs-uri-extension) $(quot)$(cs(User-Agent))$(quot) $(s-ip) $(sr-bytes) $(rs-bytes) $(x-virus-id) $(x-bluecoat-application-name) $(x-bluecoat-application-operation) $(cs-uri-port) $(x-cs-client-ip-country) $(cs-threat-risk)

6. Clique no botão **OK**. 7. Clique no botão **Aplicar**. 8. [Siga estas instruções](https://knowledge.broadcom.com/external/article/166529/sending-access-logs-to-a-syslog-server.html) para habilitar o streaming de syslog de logs de **Acesso**. Use o endereço IP ou o nome do host para o dispositivo Linux com o agente Linux instalado como o endereço IP de destino

Próximas etapas

Para obter mais informações, acesse a solução relacionada no Azure Marketplace.