Microsoft Sentinel için Mürekkep Balığı Proxy bağlayıcısı

  • Makale

Squid Proxy bağlayıcısı, Squid Proxy günlüklerinizi Microsoft Sentinel'e kolayca bağlamanızı sağlar. Bu, kuruluşunuzun ağ ara sunucusu trafiği hakkında daha fazla içgörü sağlar ve güvenlik işlemi özelliklerinizi geliştirir.

Bağlayıcı öznitelikleri

Bağlayıcı özniteliği Açıklama
Log Analytics tabloları SquidProxy_CL
Veri toplama kuralları desteği Şu anda desteklenmiyor
Destekleyen Microsoft Corporation

Sorgu örnekleri

İlk 10 Ara Sunucu Sonucu

SquidProxy 

| where isnotempty(ResultCode) 

| summarize count() by ResultCode 

| top 10 by count_

İlk 10 Eş Konak

SquidProxy 

| where isnotempty(PeerHost) 

| summarize count() by PeerHost 

| top 10 by count_

Satıcı yükleme yönergeleri

NOT: Bu veri bağlayıcısı, çözümün bir parçası olarak dağıtılan kusto işlevini temel alan ayrıştırıcının beklendiği gibi çalışmasına bağlıdır. İşlev kodunu Log Analytics'te görüntülemek için Log Analytics/Microsoft Sentinel Günlükleri dikey penceresini açın, İşlevler'e tıklayın ve Squid Proxy diğer adını arayın ve işlev kodunu yükleyin veya buraya tıklayın, sorgunun ikinci satırına SquidProxy cihazlarınızın konak adlarını ve günlük akışının diğer benzersiz tanımlayıcılarını girin. Çözümün yüklenmesi/güncelleştirildikten sonra işlevin etkinleştirilmesi genellikle 10-15 dakika sürer.

  1. Linux veya Windows için aracıyı yükleme ve ekleme

Aracıyı günlüklerin oluşturulduğu Squid Proxy sunucusuna yükleyin.

Linux veya Windows sunucularında dağıtılan Squid Proxy günlükleri Linux veya Windows aracıları tarafından toplanır.

  1. Toplanacak günlükleri yapılandırma

Toplanacak özel günlük dizinini yapılandırma

  1. Çalışma alanı gelişmiş ayarlarınızı açmak için yukarıdaki bağlantıyı seçin
  2. Sol bölmeden Veri'yi seçin, Özel Günlükler'i seçin ve Ekle+'ya tıklayın
  3. Bir Squid Proxy günlük dosyasının örneğini (örneğin access.log veya cache.log) karşıya yüklemek için Gözat'a tıklayın. Ardından İleri'ye > tıklayın
  4. Kayıt sınırlayıcısı olarak Yeni satır'ı seçin ve İleri'ye > tıklayın
  5. Windows veya Linux'ı seçin ve Squid Proxy günlüklerinin yolunu girin. Varsayılan yollar şunlardır:
  • Windows dizini: C:\Squid\var\log\squid\*.log
  • Linux Dizin: /var/log/squid/*.log
  1. Yolu girdikten sonra uygulamak için '+' simgesine ve ardından İleri'ye > tıklayın
  2. Özel günlük Adı olarak SquidProxy_CL ekleyin ve Bitti'ye tıklayın

Sonraki adımlar

Daha fazla bilgi için Azure Market ilgili çözüme gidin.