Microsoft Sentinel için ESET PROTECT bağlayıcısı
Bu bağlayıcı, merkezi yönetim çözümü ESET PROTECT (eski adıyla ESET Güvenlik Yönetim Merkezi) aracılığıyla ESET yazılımı tarafından oluşturulan tüm olayları toplar. Buna Virüsten Koruma algılamaları, Güvenlik duvarı algılamaları ve daha gelişmiş EDR algılamaları dahildir. Olayların tam listesi için lütfen belgelere bakın.
Bağlayıcı öznitelikleri
| Bağlayıcı özniteliği | Description |
|---|---|
| Log Analytics tabloları | Syslog (ESETPROTECT) |
| Veri toplama kuralları desteği | Çalışma alanı dönüştürme DCR |
| Destekleyen | ESET Hollanda |
Sorgu örnekleri
ESET tehdit olayları
ESETPROTECT
| where EventType == 'Threat_Event'
| sort by TimeGenerated desc
Algılanan ilk 10 tehdit
ESETPROTECT
| where EventType == 'Threat_Event'
| summarize ThreatCount = count() by tostring(ThreatName)
| top 10 by ThreatCount
ESET güvenlik duvarı olayları
ESETPROTECT
| where EventType == 'FirewallAggregated_Event'
| sort by TimeGenerated desc
ESET tehdit olayları
ESETPROTECT
| where EventType == 'Threat_Event'
| sort by TimeGenerated desc
Gerçek zamanlı dosya sistemi korumasından ESET tehdit olayları
ESETPROTECT
| where EventType == 'Threat_Event'
| where ScanId == 'Real-time file system protection'
| sort by TimeGenerated desc
İsteğe bağlı tarayıcıdan ESET tehdit olaylarını sorgulama
ESETPROTECT
| where EventType == 'Threat_Event'
| where ScanId == 'On-demand scanner'
| sort by TimeGenerated desc
Tehdit olaylarının sayısına göre en çok kullanılan konaklar
ESETPROTECT
| where EventType == 'Threat_Event'
| summarize threat_events_count = count() by HostName
| sort by threat_events_count desc
ESET web siteleri filtresi
ESETPROTECT
| where EventType == 'FilteredWebsites_Event'
| sort by TimeGenerated desc
ESET denetim olayları
ESETPROTECT
| where EventType == 'Audit_Event'
| sort by TimeGenerated desc
Satıcı yükleme yönergeleri
NOT: Bu veri bağlayıcısı, çözümün bir parçası olarak dağıtılan kusto işlevini temel alan ayrıştırıcının beklendiği gibi çalışmasına bağlıdır. İşlev kodunu Log Analytics'te görüntülemek için Log Analytics/Microsoft Sentinel Günlükleri dikey penceresini açın, İşlevler'e tıklayın ve ESETPROTECT diğer adını arayın ve işlev kodunu yükleyin veya buraya tıklayın. Çözümün yüklenmesi/güncelleştirildikten sonra işlevin etkinleştirilmesi genellikle 10-15 dakika sürer.
- Linux için aracıyı yükleme ve ekleme
Genellikle, aracıyı günlüklerin oluşturulduğu bilgisayardan farklı bir bilgisayara yüklemeniz gerekir.
Syslog günlükleri yalnızca Linux aracılarından toplanır.
- Toplanacak günlükleri yapılandırma
Toplamak istediğiniz tesisleri ve bunların önem derecelerini yapılandırın.
Çalışma alanı gelişmiş ayarları Yapılandırma'nın altında Veri'yi ve ardından Syslog'u seçin.
Aşağıdaki yapılandırmayı makinelerime uygula'yı seçin ve tesisleri ve önem derecelerini seçin. Varsayılan ESET PROTECT özelliği kullanıcıdır.
Kaydet’e tıklayın.
ESET PROTECT'i yapılandırma
Tüm olayları Syslog aracılığıyla göndermek için ESET PROTECT'i yapılandırın.
Syslog çıkışını yapılandırmak için bu yönergeleri izleyin. Biçim olarak BSD'yi ve aktarım olarak TCP'yi seçtiğinizden emin olun.
Tüm günlükleri syslog'a aktarmak için bu yönergeleri izleyin. Çıkış biçimi olarak JSON'ı seçin.
Not:- Hem yerel hem de bulut depolama için günlük ileticisini ayarlama belgelerine bakın.
Sonraki adımlar
Daha fazla bilgi için Azure Market ilgili çözüme gidin.