Соединитель Платформы безопасности сети McAfee для Microsoft Sentinel
Соединитель данных Платформы безопасности сети McAfee предоставляет возможность приема событий McAfee®® Network Security Platform в Microsoft Sentinel.
Это автоматически сформированное содержимое. Для изменений обратитесь к поставщику решений.
атрибуты Подключение or
Атрибут соединителя | Description |
---|---|
Таблицы Log Analytics | Syslog (McAfeeNSPEvent) |
Поддержка правил сбора данных | Преобразование DCR рабочей области |
Поддерживается | Корпорация Майкрософт |
Примеры запросов
Лучшие 10 источников
McAfeeNSPEvent
| summarize count() by tostring(DvcHostname)
| top 10 by count_
Инструкции по установке поставщика
Примечание.
Этот соединитель данных зависит от средства синтаксического анализа на основе функции Kusto для работы, как ожидалось , McAfeeNSPEvent , развернутой с помощью решения Microsoft Sentinel.
Примечание.
Этот соединитель данных разработан с помощью платформы безопасности сети McAfee®: 10.1.x
Установка и подключение агента для Linux или Windows
Установите агент на сервере, на котором перенаправляются журналы платформы безопасности сети McAfee®.
Журналы из сервера платформы безопасности сети McAfee®, развернутые на серверах Linux или Windows, собираются агентами Linux или Windows .
Настройка переадресации событий платформы безопасности сети McAfee®
Выполните приведенные ниже действия по настройке, чтобы получить журналы Платформы безопасности сети McAfee® в Microsoft Sentinel.
При создании профиля, чтобы убедиться, что события отформатированы правильно, введите следующий текст в текстовом поле сообщения:
<SyslogAlertForwarderNSP>:|SENSOR_ALERT_UUID|ALERT_TYPE|ATTACK_TIME|ATTACK_NAME|ATTACK_ID |ATTACK_SEVERITY|ATTACK_SIGNATURE|ATTACK_CONFIDENCE|ADMIN_DOMAIN|SENSOR_NAME|INTERFACE |SOURCE_IP|SOURCE_PORT|DESTINATION_IP|DESTINATION_PORT|CATEGORY|SUB_CATEGORY |DIRECTION|RESULT_STATUS|DETECTION_MECHANISM|APPLICATION_PROTOCOL|NETWORK_PROTOCOL|
Следующие шаги
Дополнительные сведения см. в связанном решении в Azure Marketplace.