Microsoft Sentinel için McAfee ePolicy Orchestrator (ePO) bağlayıcısı
McAfee ePolicy Orchestrator veri bağlayıcısı, McAfee ePO olaylarını syslog aracılığıyla Microsoft Sentinel'e alma özelliği sağlar.
Bağlan or öznitelikleri
Bağlan or özniteliği | Açıklama |
---|---|
Kusto işlev diğer adı | McAfeeEPOEvent |
Kusto işlev url'si | https://aka.ms/sentinel-McAfeeePO-parser |
Log Analytics tabloları | Syslog(McAfeeePO) |
Veri toplama kuralları desteği | Çalışma alanı dönüştürme DCR |
Destekleyen: | Microsoft Corporation |
Sorgu örnekleri
İlk 10 Kaynak
McAfeeEPOEvent
| summarize count() by DvcHostname
| top 10 by count_
Satıcı yükleme yönergeleri
Bu veri bağlayıcısı, Microsoft Sentinel Çözümü ile dağıtılan McAfeeEPOEvent'in beklendiği gibi çalışması için Kusto İşlevini temel alan ayrıştırıcıya bağlıdır.
- Linux için aracıyı yükleme ve ekleme
Genellikle aracıyı, günlüklerin oluşturulduğu bilgisayardan farklı bir bilgisayara yüklemeniz gerekir.
Syslog günlükleri yalnızca Linux aracılarından toplanır.
- Toplanacak günlükleri yapılandırma
Toplamak istediğiniz tesisleri ve önem derecelerini yapılandırın.
- Çalışma alanı gelişmiş ayarları Yapılandırma'nın altında Veri'yi ve ardından Syslog'ı seçin.
- Aşağıdaki yapılandırmayı makinelerime uygula'yı seçin ve tesisleri ve önem derecelerini seçin.
- Kaydet'e tıklayın.
Sonraki adımlar
Daha fazla bilgi için Azure Market ilgili çözüme gidin.