Соединитель Symantec ProxySG для Microsoft Sentinel

  • Статья

Symantec ProxySG позволяет легко подключать журналы Symantec ProxySG к Microsoft Sentinel, просматривать панели мониторинга, создавать пользовательские оповещения и улучшать исследования. Интеграция Symantec ProxySG с Microsoft Sentinel обеспечивает большую видимость сетевого прокси-трафика вашей организации и повышает возможности мониторинга безопасности.

Это автоматически сформированное содержимое. Для изменений обратитесь к поставщику решений.

атрибуты Подключение or

Атрибут соединителя Description
Таблицы Log Analytics Syslog (SymantecProxySG)
Поддержка правил сбора данных Преобразование DCR рабочей области
Поддерживается Корпорация Майкрософт

Примеры запросов

Первые 10 запрещенных пользователей

SymantecProxySG 

| where sc_filter_result == 'DENIED' 

| summarize count() by cs_userdn 

| top 10 by count_

Первые 10 ip-адресов отказано в клиентах

SymantecProxySG 

| where sc_filter_result == 'DENIED' 

| summarize count() by c_ip 

| top 10 by count_

Необходимые компоненты

Чтобы интегрироваться с Symantec ProxySG, убедитесь, что у вас есть:

  • Symantec ProxySG: необходимо настроить экспорт журналов с помощью Системного журнала.

Инструкции по установке поставщика

Примечание.

Этот соединитель данных зависит от средства синтаксического анализа на основе функции Kusto, которая должна работать должным образом, которая развертывается в рамках решения. Чтобы просмотреть код функции в Log Analytics, откройте колонку Log Analytics/Microsoft Sentinel Logs, щелкните "Функции" и найдите псевдоним Symantec Proxy SG и загрузите код функции или щелкните здесь, в второй строке запроса введите имя узла устройства Symantec Proxy SG и другие уникальные идентификаторы для потока журналов. Функция обычно занимает 10–15 минут, чтобы активировать после установки или обновления решения.

  1. Установка и подключение агента для Linux

Обычно агент следует устанавливать не на том же компьютере, где создаются журналы.

Журналы системного журнала собираются только из агентов Linux .

  1. Настройка журналов для сбора

Настройте объекты, которые необходимо собрать, и соответствующие уровни серьезности.

  1. В разделе "Конфигурация дополнительных параметров рабочей области" выберите "Данные" и "Системный журнал".

  2. Выберите " Применить" на моих компьютерах и выберите объекты и серьезность.

  3. Нажмите кнопку Сохранить.

  4. Настройка и подключение Symantec ProxySG

  5. Войдите в консоль управления Blue Coat.

  6. Выберите форматы ведения журнала > доступа к конфигурации>.

  7. Выберите Создать.

  8. Введите уникальное имя в поле "Имя формата".

  9. Нажмите переключатель для строки настраиваемого формата и вставьте следующую строку в поле.

1 $(date) $(time) $(time-taken) $(c-ip) $(cs-userdn) $(cs-auth-groups) $(x-exception-id) $(sc-filter-result) $(cs-categories) $(quot)$(cs(Referer))$(quot) $(sc-status) $(s-action) $(cs-method) $(quot)$(rs(Content-Type))$(quot) $(cs-uri-scheme) $(cs-host) $(cs-uri-port) $(cs-uri-path) $(cs-uri-query) $(cs-uri-extension) $(quot)$(cs(User-Agent))$(quot) $(s-ip) $(sr-bytes) $(rs-bytes) $(x-virus-id) $(x-bluecoat-application-name) $(x-bluecoat-application-operation) $(cs-uri-port) $(x-cs-client-ip-country) $(cs-threat-risk)

6. Нажмите кнопку **ОК** . 7. Нажмите кнопку **Применить** . 8. [Следуйте этим инструкциям](https://knowledge.broadcom.com/external/article/166529/sending-access-logs-to-a-syslog-server.html) чтобы включить потоковую передачу системного журнала журналов **Access** . Используйте IP-адрес или имя узла для устройства Linux с агентом Linux, установленным в качестве IP-адреса назначения.

Следующие шаги

Дополнительные сведения см. в связанном решении в Azure Marketplace.