Microsoft Sentinel için Linux için Microsoft Sysmon bağlayıcısı
Linux için Sysmon işlem oluşturma işlemleri, ağ bağlantıları ve diğer sistem olayları hakkında ayrıntılı bilgi sağlar. [Linux için Sysmon bağlantısı:]. Linux için Sysmon bağlayıcısı, veri alma yöntemi olarak Syslog kullanır. Bu çözüm ASIM'nin beklendiği gibi çalışmasına bağlıdır. Çözümden tam değeri almak için ASIM'yi dağıtın.
Bağlayıcı öznitelikleri
| Bağlayıcı özniteliği | Description |
|---|---|
| Log Analytics tabloları | Syslog (Sysmon) |
| Veri toplama kuralları desteği | Çalışma alanı dönüştürme DCR |
| Destekleyen | Microsoft Corporation |
Sorgu örnekleri
ActingProcessName'e Göre İlk 10 Olay
vimProcessCreateLinuxSysmon
| summarize count() by ActingProcessName
| top 10 by count_
Satıcı yükleme yönergeleri
Bu veri bağlayıcısı, kusto işlevlerini temel alan ASIM ayrıştırıcılarının beklendiği gibi çalışmasına bağlıdır. Ayrıştırıcıları dağıtma
Aşağıdaki işlevler dağıtılacak:
vimFileEventLinuxSysmonFileCreated, vimFileEventLinuxSysmonFileDeleted
vimProcessCreateLinuxSysmon, vimProcessTerminateLinuxSysmon
vimNetworkSessionLinuxSysmon
- Linux için aracıyı yükleme ve ekleme
Genellikle, aracıyı günlüklerin oluşturulduğu bilgisayardan farklı bir bilgisayara yüklemeniz gerekir.
Syslog günlükleri yalnızca Linux aracılarından toplanır.
- Toplanacak günlükleri yapılandırma
Toplamak istediğiniz tesisleri ve bunların önem derecelerini yapılandırın.
- Çalışma alanı gelişmiş ayarları Yapılandırma'nın altında Veri'yi ve ardından Syslog'u seçin.
- Aşağıdaki yapılandırmayı makinelerime uygula'yı seçin ve tesisleri ve önem derecelerini seçin.
- Kaydet’e tıklayın.
Sonraki adımlar
Daha fazla bilgi için Azure Market ilgili çözüme gidin.