ESET PROTECT-anslutningsprogram för Microsoft Sentinel
Den här anslutningsappen samlar in alla händelser som genereras av ESET-programvara via den centrala hanteringslösningen ESET PROTECT (tidigare ESET Security Management Center). Detta omfattar antivirusidentifieringar, brandväggsidentifieringar men även mer avancerade Identifiering och åtgärd på slutpunkt identifieringar. En fullständig lista över händelser finns i dokumentationen.
Det här är automatiskt genererat innehåll. Om du vill ha ändringar kontaktar du lösningsleverantören.
Anslut ellerattribut
| Anslut ellerattribut | beskrivning |
|---|---|
| Log Analytics-tabeller | Syslog (ESETPROTECT) |
| Stöd för regler för datainsamling | DcR för arbetsytetransformering |
| Stöds av | ESET Nederländerna |
Exempel på frågor
ESET-hothändelser
ESETPROTECT
| where EventType == 'Threat_Event'
| sort by TimeGenerated desc
Topp 10 identifierade hot
ESETPROTECT
| where EventType == 'Threat_Event'
| summarize ThreatCount = count() by tostring(ThreatName)
| top 10 by ThreatCount
ESET-brandväggshändelser
ESETPROTECT
| where EventType == 'FirewallAggregated_Event'
| sort by TimeGenerated desc
ESET-hothändelser
ESETPROTECT
| where EventType == 'Threat_Event'
| sort by TimeGenerated desc
ESET-hothändelser från filsystemskydd i realtid
ESETPROTECT
| where EventType == 'Threat_Event'
| where ScanId == 'Real-time file system protection'
| sort by TimeGenerated desc
Fråga efter ESET-hothändelser från skannern på begäran
ESETPROTECT
| where EventType == 'Threat_Event'
| where ScanId == 'On-demand scanner'
| sort by TimeGenerated desc
Främsta värdar efter antal hothändelser
ESETPROTECT
| where EventType == 'Threat_Event'
| summarize threat_events_count = count() by HostName
| sort by threat_events_count desc
ESET-webbplatsfilter
ESETPROTECT
| where EventType == 'FilteredWebsites_Event'
| sort by TimeGenerated desc
ESET-granskningshändelser
ESETPROTECT
| where EventType == 'Audit_Event'
| sort by TimeGenerated desc
Installationsanvisningar för leverantör
Obs! Den här dataanslutningen är beroende av en parser baserat på en Kusto-funktion för att fungera som förväntat som distribueras som en del av lösningen. Om du vill visa funktionskoden i Log Analytics öppnar du bladet Log Analytics/Microsoft Sentinel-loggar, klickar på Funktioner och söker efter aliaset ESETPROTECT och läser in funktionskoden eller klickar här. Funktionen tar vanligtvis 10–15 minuter att aktivera efter installationen/uppdateringen av lösningen.
- Installera och registrera agenten för Linux
Normalt bör du installera agenten på en annan dator än den där loggarna genereras.
Syslog-loggar samlas endast in från Linux-agenter .
- Konfigurera loggarna som ska samlas in
Konfigurera de anläggningar som du vill samla in och deras allvarlighetsgrad.
Under Avancerade inställningar för arbetsytan Konfiguration väljer du Data och sedan Syslog.
Välj Använd nedanstående konfiguration på mina datorer och välj de anläggningar och allvarlighetsgraderna. Standardinställningen för ESET PROTECT är användare.
Klicka på Spara.
Konfigurera ESET PROTECT
Konfigurera ESET PROTECT för att skicka alla händelser via Syslog.
Följ de här anvisningarna för att konfigurera syslog-utdata. Se till att välja BSD som format och TCP som transport.
Följ de här anvisningarna för att exportera alla loggar till syslog. Välj JSON som utdataformat.
Obs! – Se dokumentationen för att konfigurera loggvidare för både lokal lagring och molnlagring.
Nästa steg
Mer information finns i den relaterade lösningen på Azure Marketplace.