[Deprecato] OSSEC tramite connettore AMA per Microsoft Sentinel
Importante
La raccolta di log da molti dispositivi e appliance è ora supportata da Common Event Format (CEF) tramite AMA, syslog tramite AMA o log personalizzati tramite il connettore dati AMA in Microsoft Sentinel. Per altre informazioni, vedere Trovare il connettore dati di Microsoft Sentinel.
Il connettore dati OSSEC offre la possibilità di inserire eventi OSSEC in Microsoft Sentinel. Per altre informazioni, vedere la documentazione di OSSEC.
Questo contenuto è generato automaticamente. Per modifiche, contattare il provider di soluzioni.
Attributi connettore
| Attributo connettore | Descrizione |
|---|---|
| Tabelle Log Analytics | CommonSecurityLog (OSSEC) |
| Supporto regole di raccolta dati | Trasformazione area di lavoro DCR |
| Supportata da: | Microsoft Corporation |
Esempi di query
Prime 10 regole
OSSECEvent
| summarize count() by RuleName
| top 10 by count_
Prerequisiti
Per eseguire l'integrazione con [Deprecato] OSSEC tramite AMA, assicurarsi di avere:
- : per raccogliere dati da macchine virtuali non di Azure, è necessario che Azure Arc sia installato e abilitato. Ulteriori informazioni
- : Common Event Format (CEF) tramite AMA e Syslog tramite i connettori dati AMA devono essere installati Altre informazioni
Istruzioni per l’installazione di Vendor
Nota
Questo connettore dati dipende da un parser basato su una funzione Kusto per funzionare come previsto, che viene distribuito come parte della soluzione. Per visualizzare il codice della funzione in Log Analytics, aprire il pannello Log Analytics/Log di Microsoft Sentinel, fare clic su Funzioni e cercare l'alias OSSEC e caricare il codice della funzione oppure fare clic qui, nella seconda riga della query immettere i nomi host dei dispositivi OSSEC e qualsiasi altro identificatore univoco per il logstream. La funzione richiede in genere 10-15 minuti per l'attivazione dopo l'installazione/aggiornamento della soluzione.
- Proteggere il computer
Assicurarsi di configurare la sicurezza del computer in base ai criteri di sicurezza dell'organizzazione
Passaggi successivi
Per altre informazioni, visitare la soluzione correlata in Azure Marketplace.