[Önerilen] Microsoft Sentinel için AMA bağlayıcısı aracılığıyla Illumio Core
Illumio Core veri bağlayıcısı, Illumio Core günlüklerini Microsoft Sentinel'e alma özelliği sağlar.
Bağlan or öznitelikleri
| Bağlan or özniteliği | Açıklama |
|---|---|
| Log Analytics tabloları | CommonSecurityLog (IllumioCore) |
| Veri toplama kuralları desteği | Azure İzleyici Aracısı DCR |
| Destekleyen: | Microsoft |
Sorgu örnekleri
İlk 10 Olay Türü
IllumioCoreEvent
| where isnotempty(EventType)
| summarize count() by EventType
| top 10 by count_
Önkoşullar
AMA aracılığıyla [Önerilen] Illumio Core ile tümleştirmek için aşağıdakilere sahip olduğunuzdan emin olun:
- : Azure olmayan VM'lerden veri toplamak için Azure Arc'ın yüklü ve etkin olması gerekir. Daha fazla bilgi edinin
- : AMA aracılığıyla Ortak Olay Biçimi (CEF) ve AMA veri bağlayıcıları aracılığıyla Syslog yüklenmelidir Daha fazla bilgi edinin
Satıcı yükleme yönergeleri
NOT: Bu veri bağlayıcısı, çözümün bir parçası olarak dağıtılan kusto işlevini temel alan ayrıştırıcının beklendiği gibi çalışmasına bağlıdır. İşlev kodunu Log Analytics'te görüntülemek için Log Analytics/Microsoft Sentinel Günlükleri dikey penceresini açın, İşlevler'e tıklayın ve IllumioCoreEvent diğer adını arayın ve işlev kodunu yükleyin veya buraya tıklayın. Çözüm yüklendikten/güncelleştirildikten ve Illumio Core olaylarını Microsoft Sentinel Bilgi Modeli'ne (ASIM) eşledikten sonra işlevin etkinleştirilmesi genellikle 10-15 dakika sürer.
- Makinenizin güvenliğini sağlama
Makinenin güvenliğini kuruluşunuzun güvenlik ilkesine göre yapılandırdığından emin olun
Sonraki adımlar
Daha fazla bilgi için Azure Market ilgili çözüme gidin.