Broadcom Symantec veri kaybı engellemesini (DLP) Azure Sentinel 'e bağlama

Önemli

Broadcom Symantec DLP Bağlayıcısı Şu anda Önizleme aşamasındadır. Beta, önizleme veya henüz genel kullanıma sunulmayan Azure özelliklerine uygulanan ek koşullar için Microsoft Azure önizlemeleri için ek kullanım koşulları 'na bakın.

Bu makalede, Broadcom Symantec DLP gerecinizi Azure Sentinel 'e bağlama açıklanmaktadır. Broadcom Symantec DLP veri Bağlayıcısı, Azure Sentinel ile Symantec DLP günlüklerinizi kolayca bağlamanıza olanak tanır, panoları görüntüleyebilir, özel uyarılar oluşturabilir ve araştırmayı geliştirebilirsiniz. Bu özellik, kuruluşunuzun bilgileri hakkında daha fazla öngörü sağlar ve nerede seyahat eder ve güvenlik işlemi yeteneklerini geliştirir. Broadcom Symantec DLP ve Azure Sentinel arasında tümleştirme, CEF biçimli syslog, Linux tabanlı bir günlük ileticisi ve Log Analytics Aracısı kullanımını sağlar. Ayrıca, kusto işlevine dayalı özel olarak oluşturulmuş bir günlük ayrıştırıcısı kullanır.

Not

Veriler, Azure Sentinel çalıştırdığınız çalışma alanının coğrafi konumunda depolanır.

Önkoşullar

Azure Sentinel 'e Broadcom Symantec DLP günlükleri gönderme

Günlüklerini Azure Sentinel 'e almak için, Broadcom Symantec DLP gerecinizi, CEF biçiminde bir Linux tabanlı günlük iletme sunucusuna (rsyslog veya Syslog-ng çalıştıran) Syslog iletileri gönderecek şekilde yapılandırın. Bu sunucuda Log Analytics Aracısı yüklü olacaktır ve Aracı günlükleri Azure Sentinel çalışma alanınıza iletir.

  1. Azure Sentinel gezinti menüsünde veri bağlayıcıları' nı seçin.

  2. Veri bağlayıcıları galerisinden, Broadcom Symantec DLP (Önizleme) bağlayıcısını seçin ve ardından bağlayıcı sayfası' nı açın.

  3. Yapılandırma altında, yönergeler sekmesindeki yönergeleri izleyin:

    1. 1 altında. Linux Syslog Aracısı yapılandırması -çalışır durumda bir günlük ileticisi yoksa veya başka bir tane gerekiyorsa bu adımı izleyin. Daha ayrıntılı yönergeler ve açıklamalar için bkz. 1. Adım: Azure Sentinel belgelerindeki günlük ileticisini dağıtma .

    2. 2 altında. Symantec DLP günlüklerini Syslog aracısına ilet - Symantec DLP 'yi yapılandırmakiçin Broadcom 'in yönergelerini izleyin. Bu yapılandırma aşağıdaki öğeleri içermelidir:

      • Günlük hedefi – günlük iletme sunucunuzun ana bilgisayar adı ve/veya IP adresi
      • Protokol ve bağlantı noktası – TCP 514 (Aksi takdirde önerilir), günlük iletme sunucunuzdaki Syslog Daemon öğesinde paralel değişikliği yaptığınızdan emin olun.
      • Günlük biçimi – CEF
      • Günlük türleri – tüm kullanılabilir veya tüm uygun
    3. 3 ' ün altında . Bağlantıyı doğrulama -bağlayıcı sayfasına komutu kopyalayarak ve günlük ileticisinde çalıştırarak veri alımını doğrulayın. Daha ayrıntılı yönergeler ve açıklamalar için bkz. 3. Adım: Azure Sentinel belgelerindeki bağlantıyı doğrulama.

      Günlüklerinizin Log Analytics görünmeye başlaması 20 dakikaya kadar sürebilir.

Verilerinizi bulun

Başarılı bir bağlantı kurulduktan sonra, veriler günlüklerde, Azure Sentinel bölümünde, commonsecuritylog tablosunda görünür.

Bu veri Bağlayıcısı, beklenen şekilde çalışması için bir kusto Işlevini temel alan bir ayrıştırıcıya bağımlıdır. SymantecDLP kusto işlevi diğer adını oluşturmak için Bu adımları izleyin .

Daha sonra, Log Analytics 'daki Broadcom Symantec DLP verilerini sorgulamak için, SymantecDLP sorgu penceresinin en üstüne girin.

Bazı yararlı sorgu örnekleri için bağlayıcı sayfasındaki sonraki adımlar sekmesine bakın.

Sonraki adımlar

Bu belgede Symantec DLP 'yi Azure Sentinel 'e bağlamayı öğrendiniz. Azure Sentinel hakkında daha fazla bilgi edinmek için aşağıdaki makalelere bakın: