Соединитель Symantec Integrated Cyber Defense Exchange для Microsoft Sentinel

  • Статья

Соединитель Symantec ICDx позволяет легко подключать журналы решений безопасности Symantec с помощью Microsoft Sentinel, просматривать панели мониторинга, создавать пользовательские оповещения и улучшать исследование. В результате вы сможете получать больше полезных сведений о сети организации и улучшать возможности обеспечения безопасности.

Это автоматически сформированное содержимое. Для изменений обратитесь к поставщику решений.

атрибуты Подключение or

Атрибут соединителя Description
Таблицы Log Analytics SymantecICDx_CL
Поддержка правил сбора данных В настоящий момент не поддерживается
Поддерживается Корпорация Майкрософт

Примеры запросов

Сводка по ip-адресу источника подключения

SymantecICDx_CL
         
| summarize count() by connection_src_ip_s

Сводка по идентификатору угрозы

SymantecICDx_CL
         
| summarize count() by threat_id_d

Инструкции по установке поставщика

Настройка и подключение Symantec ICDx

  1. В области навигации ICDx нажмите Configuration (Конфигурация).
  2. В верхней части экрана "Конфигурация" щелкните "Пересылка" и рядом с Microsoft Sentinel (Log Analytics) нажмите кнопку "Добавить".
  3. В открывавшемся окне Microsoft Sentinel (Log Analytics) нажмите кнопку "Показать дополнительно". См. документацию по настройке расширенных функций.
  4. Убедитесь, что вы задали имя сервера пересылки и в разделе "Назначение Azure", задайте следующие обязательные поля:
  • Идентификатор рабочей области: вставьте идентификатор рабочей области на странице соединителя портала Microsoft Sentinel.
  • Первичный ключ: вставьте первичный ключ на странице соединителя портала Microsoft Sentinel.
  • Custom Log Name (Имя пользовательского журнала). Введите имя пользовательского журнала в рабочей области Log Analytics на портале Microsoft Azure, в который будут пересылаться события. Имя по умолчанию — SymantecICDx.
  1. Нажмите кнопку "Сохранить" и запустите сервер пересылки, перейдите к разделу "Дополнительные параметры > " и нажмите кнопку "Пуск".

Следующие шаги

Дополнительные сведения см. в связанном решении в Azure Marketplace.