Symantec ProxySG-anslutningsprogram för Microsoft Sentinel

  • Artikel

Med Symantec ProxySG kan du enkelt ansluta dina Symantec ProxySG-loggar till Microsoft Sentinel, visa instrumentpaneler, skapa anpassade aviseringar och förbättra utredningarna. Integreringen av Symantec ProxySG med Microsoft Sentinel ger bättre insyn i organisationens nätverksproxytrafik och förbättrar funktionerna för säkerhetsövervakning.

Det här är automatiskt genererat innehåll. Om du vill ha ändringar kontaktar du lösningsleverantören.

Anslut ellerattribut

Anslut ellerattribut beskrivning
Log Analytics-tabeller Syslog (SymantecProxySG)
Stöd för regler för datainsamling DcR för arbetsytetransformering
Stöds av Microsoft Corporation

Exempel på frågor

De 10 främsta nekade användarna

SymantecProxySG 

| where sc_filter_result == 'DENIED' 

| summarize count() by cs_userdn 

| top 10 by count_

De 10 främsta nekade klient-IP-adresserna

SymantecProxySG 

| where sc_filter_result == 'DENIED' 

| summarize count() by c_ip 

| top 10 by count_

Förutsättningar

Om du vill integrera med Symantec ProxySG kontrollerar du att du har:

  • Symantec ProxySG: måste konfigureras för att exportera loggar via Syslog

Installationsanvisningar för leverantör

Kommentar

Den här dataanslutningsappen är beroende av en parser som baseras på en Kusto-funktion för att fungera som förväntat och som distribueras som en del av lösningen. Om du vill visa funktionskoden i Log Analytics öppnar du Log Analytics-/Microsoft Sentinel-loggbladet, klickar på Funktioner och söker efter aliaset Symantec Proxy SG och läser in funktionskoden eller klickar här, på den andra raden i frågan anger du värdnamnen för Symantec Proxy SG-enheter och andra unika identifierare för loggströmmen. Funktionen tar vanligtvis 10–15 minuter att aktivera efter installationen/uppdateringen av lösningen.

  1. Installera och registrera agenten för Linux

Normalt bör du installera agenten på en annan dator än den där loggarna genereras.

Syslog-loggar samlas endast in från Linux-agenter .

  1. Konfigurera loggarna som ska samlas in

Konfigurera de anläggningar som du vill samla in och deras allvarlighetsgrad.

  1. Under Avancerade inställningar för arbetsytan Konfiguration väljer du Data och sedan Syslog.

  2. Välj Använd nedanstående konfiguration på mina datorer och välj de anläggningar och allvarlighetsgraderna.

  3. Klicka på Spara.

  4. Konfigurera och ansluta Symantec ProxySG

  5. Logga in på blue coat-hanteringskonsolen .

  6. Välj Loggningsformat > för konfigurationsåtkomst>.

  7. Välj Ny.

  8. Ange ett unikt namn i fältet Formatnamn.

  9. Klicka på alternativknappen för strängen Anpassat format och klistra in följande sträng i fältet.

1 $(date) $(time) $(time-taken) $(c-ip) $(cs-userdn) $(cs-auth-groups) $(x-exception-id) $(sc-filter-result) $(cs-categories) $(quot)$(cs(Referer))$(quot) $(sc-status) $(s-action) $(cs-method) $(quot)$(rs(Content-Type))$(quot) $(cs-uri-scheme) $(cs-host) $(cs-uri-port) $(cs-uri-path) $(cs-uri-query) $(cs-uri-extension) $(quot)$(cs(User-Agent))$(quot) $(s-ip) $(sr-bytes) $(rs-bytes) $(x-virus-id) $(x-bluecoat-application-name) $(x-bluecoat-application-operation) $(cs-uri-port) $(x-cs-client-ip-country) $(cs-threat-risk)

6. Klicka på knappen **OK**. 7. Klicka på knappen **Använd**. 8. [Följ dessa instruktioner](https://knowledge.broadcom.com/external/article/166529/sending-access-logs-to-a-syslog-server.html) för att aktivera syslog-strömning av **Access** loggar. Använd IP-adressen eller värdnamnet för Linux-enheten med Linux-agenten installerad som mål-IP-adress

Nästa steg

Mer information finns i den relaterade lösningen på Azure Marketplace.