Соединитель Blackberry CylancePROTECT для Microsoft Sentinel

  • Статья

Соединитель Blackberry CylancePROTECT позволяет легко подключать журналы CylancePROTECT с помощью Microsoft Sentinel. В результате вы будете получать больше полезных сведений о сети организации и расширите свои возможности для обеспечения безопасности.

Это автоматически сформированное содержимое. Для изменений обратитесь к поставщику решений.

атрибуты Подключение or

Атрибут соединителя Description
Таблицы Log Analytics Syslog (CylancePROTECT)
Поддержка правил сбора данных Преобразование DCR рабочей области
Поддерживается Корпорация Майкрософт

Примеры запросов

Лучшие 10 типов событий

CylancePROTECT​
         
| summarize count() by EventName
         
| top 10 by count_

Первые 10 активированных политик

CylancePROTECT​
         
| where EventType == "Threat" 
         
| summarize count() by PolicyName 
         
| top 10 by count_

Необходимые компоненты

Чтобы интегрироваться с Blackberry CylancePROTECT, убедитесь, что у вас есть:

  • CylancePROTECT: необходимо настроить для экспорта журналов с помощью Системного журнала.

Инструкции по установке поставщика

Примечание.

Этот соединитель данных зависит от средства синтаксического анализа на основе функции Kusto, которая должна работать должным образом, которая развертывается в рамках решения. Чтобы просмотреть код функции в Log Analytics, откройте колонку Log Analytics/Microsoft Sentinel Logs, щелкните "Функции" и найдите псевдоним CyclanePROTECT и загрузите код функции или щелкните здесь, во второй строке запроса введите имена узлов устройств CyclanePROTECT и другие уникальные идентификаторы для потока журналов. Функция обычно занимает 10–15 минут, чтобы активировать после установки или обновления решения.

  1. Установка и подключение агента для Linux

Обычно агент следует устанавливать не на том же компьютере, где создаются журналы.

Журналы системного журнала собираются только из агентов Linux .

  1. Настройка журналов для сбора

Настройте объекты, которые необходимо собрать, и соответствующие уровни серьезности.

  1. Щелкните ссылку ниже, чтобы открыть конфигурацию агентов рабочей области и перейдите на вкладку "Системный журнал".

  2. Выберите Добавить устройство и выберите нужный вариант из раскрывающегося списка устройств. Повторите все объекты, которые вы хотите добавить.

  3. Пометьте поля проверка для требуемого уровня серьезности для каждого объекта.

  4. Щелкните Применить.

  5. Настройка и подключение CylancePROTECT

Следуйте этим инструкциям , чтобы настроить CylancePROTECT для пересылки системного журнала. Используйте IP-адрес или имя узла для устройства Linux с агентом Linux, установленным в качестве IP-адреса назначения.

Следующие шаги

Дополнительные сведения см. в связанном решении в Azure Marketplace.