[Rekommenderas] OSSEC via AMA-anslutningsprogram för Microsoft Sentinel
OSSEC-dataanslutningsappen ger möjlighet att mata in OSSEC-händelser i Microsoft Sentinel. Mer information finns i OSSEC-dokumentationen.
Anslut ellerattribut
Anslut ellerattribut | beskrivning |
---|---|
Log Analytics-tabeller | CommonSecurityLog (OSSEC) |
Stöd för regler för datainsamling | Azure Monitor Agent DCR |
Stöds av | Microsoft Corporation |
Exempel på frågor
De 10 främsta reglerna
OSSECEvent
| summarize count() by RuleName
| top 10 by count_
Förutsättningar
Om du vill integrera med [Recommended] OSSEC via AMA kontrollerar du att du har:
- : Om du vill samla in data från virtuella datorer som inte kommer från Azure måste de ha Azure Arc installerat och aktiverat. Läs mer
- : Common Event Format (CEF) via AMA och Syslog via AMA-dataanslutningar måste installeras Läs mer
Installationsanvisningar för leverantör
Kommentar
Den här dataanslutningsappen är beroende av en parser som baseras på en Kusto-funktion för att fungera som förväntat och som distribueras som en del av lösningen. Om du vill visa funktionskoden i Log Analytics öppnar du bladet Log Analytics/Microsoft Sentinel-loggar, klickar på Funktioner och söker efter aliaset OSSEC och läser in funktionskoden eller klickar här. På den andra raden i frågan anger du värdnamnen för dina OSSEC-enheter och andra unika identifierare för loggströmmen. Funktionen tar vanligtvis 10–15 minuter att aktivera efter installationen/uppdateringen av lösningen.
- Skydda datorn
Se till att konfigurera datorns säkerhet enligt organisationens säkerhetsprincip
Nästa steg
Mer information finns i den relaterade lösningen på Azure Marketplace.