[Obsoleto] Conector do Symantec Endpoint Protection para Microsoft Sentinel

Importante

A coleta de logs de vários aparelhos e dispositivos agora tem suporte no Formato Comum de Evento (CEF) via AMA, Syslog via AMA, ou Logs Personalizados via conector de dados AMA no Microsoft Sentinel. Para obter mais informações, consulte Encontrar seu conector de dados do Microsoft Sentinel.

O conector Broadcom SEP (Symantec Endpoint Protection) permite que você conecte facilmente seus logs do SEP com o Microsoft Sentinel. Isso proporciona mais insights sobre a rede da sua organização e aprimora suas funcionalidades de operação de segurança.

Este é um conteúdo gerado automaticamente. Para alterações, entre em contato com o provedor da solução.

Atributos do conector

Atributo do conector Description
Tabela(s) do Log Analytics Syslog (SymantecEndpointProtection)
Suporte às regras de coleta de dados DCR de transformação do espaço de trabalho
Com suporte por Microsoft Corporation

Exemplos de consulta

**Os dez principais tipos de log **

SymantecEndpointProtection 

| summarize count() by LogType 

| top 10 by count_

Dez principais usuários

SymantecEndpointProtection 

| summarize count() by UserName 

| top 10 by count_

Pré-requisitos

Para integrar com o Symantec Endpoint Protection [obsoleto], certifique-se de ter:

  • SEP (Symantec Endpoint Protection): precisa ser configurado para exportar logs por meio do Syslog

Instruções de instalação do fornecedor

OBSERVAÇÃO: Este conector de dados depende de um analisador baseado em uma Função Kusto para funcionar conforme o esperado, o que é implantado como parte da solução. Para exibir o código de função no Log Analytics, abra a folha Logs do Log Analytics/Microsoft Sentinel, clique em Funções e pesquise pelo alias Symantec Endpoint Protection e carregue o código da função ou clique aqui, na segunda linha da consulta, insira os nomes de host de seus dispositivos SymantecEndpointProtection e quaisquer outros identificadores exclusivos para o fluxo de log. A função geralmente leva de 10 a 15 minutos para ser ativada após a instalação/atualização da solução.

  1. Instalar e integrar o agente para Linux

De modo geral, você deve instalar o agente em um computador diferente daquele a partir do qual os logs são gerados.

Os logs do Syslog são coletados apenas junto a agentes do Linux.

  1. Configurar os logs a serem coletados

Configurar as facilidades que você deseja coletar e os respectivo níveis de gravidades.

  1. Nas definições da Configuração avançada do workspace, selecione Dados e, em seguida, Syslog.

  2. Selecione Aplicar a configuração abaixo às minhas máquinas e selecione as facilidades e níveis de gravidade.

  3. Clique em Salvar.

  4. Configurar e conectar o Symantec Endpoint Protection

Siga estas instruções para configurar o Symantec Endpoint Protection para encaminhar o syslog. Use o endereço IP ou o nome do host para o dispositivo Linux com o agente Linux instalado como o Endereço IP de Destino.

Próximas etapas

Para obter mais informações, acesse a solução relacionada no Azure Marketplace.