Microsoft Sentinel için Symantec ProxySG bağlayıcısı
Symantec ProxySG, panoları görüntülemek, özel uyarılar oluşturmak ve araştırmalarınızı geliştirmek için Symantec ProxySG günlüklerinizi Microsoft Sentinel'e kolayca bağlamanıza olanak tanır. Symantec ProxySG'nin Microsoft Sentinel ile tümleştirilmesi, kuruluşunuzun ağ ara sunucusu trafiğine daha fazla görünürlük sağlar ve güvenlik izleme özelliklerini geliştirir.
Bağlan or öznitelikleri
| Bağlan or özniteliği | Açıklama |
|---|---|
| Log Analytics tabloları | Syslog (SymantecProxySG) |
| Veri toplama kuralları desteği | Çalışma alanı dönüştürme DCR |
| Destekleyen: | Microsoft Corporation |
Sorgu örnekleri
İlk 10 Reddedilen Kullanıcı
SymantecProxySG
| where sc_filter_result == 'DENIED'
| summarize count() by cs_userdn
| top 10 by count_
İlk 10 Reddedilen İstemci IP'leri
SymantecProxySG
| where sc_filter_result == 'DENIED'
| summarize count() by c_ip
| top 10 by count_
Önkoşullar
Symantec ProxySG ile tümleştirmek için aşağıdakilere sahip olduğunuzdan emin olun:
- Symantec ProxySG: Syslog aracılığıyla günlükleri dışarı aktaracak şekilde yapılandırılmalıdır
Satıcı yükleme yönergeleri
Dekont
Bu veri bağlayıcısı, çözümün bir parçası olarak dağıtılan kusto işlevinin beklendiği gibi çalışması için ayrıştırıcıya bağlıdır. İşlev kodunu Log Analytics'te görüntülemek için Log Analytics/Microsoft Sentinel Günlükleri dikey penceresini açın, İşlevler'e tıklayın ve Symantec Proxy SG diğer adını arayın ve işlev kodunu yükleyin veya buraya tıklayın; sorgunun ikinci satırında Symantec Proxy SG cihazlarınızın konak adlarını ve günlük akışının diğer benzersiz tanımlayıcılarını girin. Çözümün yüklenmesi/güncelleştirildikten sonra işlevin etkinleştirilmesi genellikle 10-15 dakika sürer.
- Linux için aracıyı yükleme ve ekleme
Genellikle aracıyı, günlüklerin oluşturulduğu bilgisayardan farklı bir bilgisayara yüklemeniz gerekir.
Syslog günlükleri yalnızca Linux aracılarından toplanır.
- Toplanacak günlükleri yapılandırma
Toplamak istediğiniz tesisleri ve önem derecelerini yapılandırın.
Çalışma alanı gelişmiş ayarları Yapılandırma'nın altında Veri'yi ve ardından Syslog'ı seçin.
Aşağıdaki yapılandırmayı makinelerime uygula'yı seçin ve tesisleri ve önem derecelerini seçin.
Kaydet'e tıklayın.
Symantec ProxySG'yi yapılandırma ve bağlama
Blue Coat Yönetim Konsolu'nda oturum açın.
Yapılandırma > Erişim Günlüğü > Biçimleri'ni seçin.
Yeni'yi seçin.
Biçim Adı alanına benzersiz bir ad girin.
Özel biçim dizesi için radyo düğmesine tıklayın ve aşağıdaki dizeyi alana yapıştırın.
1 $(date) $(time) $(time-taken) $(c-ip) $(cs-userdn) $(cs-auth-groups) $(x-exception-id) $(sc-filter-result) $(cs-categories) $(quot)$(cs(Referer))$(quot) $(sc-status) $(s-action) $(cs-method) $(quot)$(rs(Content-Type))$(quot) $(cs-uri-scheme) $(cs-host) $(cs-uri-port) $(cs-uri-path) $(cs-uri-query) $(cs-uri-extension) $(quot)$(cs(User-Agent))$(quot) $(s-ip) $(sr-bytes) $(rs-bytes) $(x-virus-id) $(x-bluecoat-application-name) $(x-bluecoat-application-operation) $(cs-uri-port) $(x-cs-client-ip-country) $(cs-threat-risk)
Sonraki adımlar
Daha fazla bilgi için Azure Market ilgili çözüme gidin.