[Obsoleto] Conector do Symantec ProxySG para Microsoft Sentinel
Importante
A coleta de logs de vários aparelhos e dispositivos agora tem suporte no Formato Comum de Evento (CEF) via AMA, Syslog via AMA, ou Logs Personalizados via conector de dados AMA no Microsoft Sentinel. Para obter mais informações, consulte Encontrar seu conector de dados do Microsoft Sentinel.
O Symantec ProxySG permite conectar facilmente os logs do Symantec ProxySG ao Microsoft Sentinel para exibir painéis, criar alertas personalizados e melhorar a investigação. A integração do Symantec ProxySG ao Microsoft Sentinel aumenta a visibilidade sobre o tráfego de proxy de rede da organização e aprimora os recursos de monitoramento de segurança.
Esse é conteúdo gerado automaticamente. Para alterações, entre em contato com o provedor da solução.
Atributos do conector
| Atributo do conector | Description |
|---|---|
| Tabela(s) do Log Analytics | Syslog (SymantecProxySG) |
| Suporte às regras de coleta de dados | DCR de transformação do espaço de trabalho |
| Com suporte por | Microsoft Corporation |
Exemplos de consulta
10 principais usuários negados
SymantecProxySG
| where sc_filter_result == 'DENIED'
| summarize count() by cs_userdn
| top 10 by count_
10 principais IPs de cliente negados
SymantecProxySG
| where sc_filter_result == 'DENIED'
| summarize count() by c_ip
| top 10 by count_
Pré-requisitos
Para integrar com o Symantec ProxySG [obsoleto], certifique-se de ter:
- Symantec ProxySG: precisa ser configurado para exportar logs por meio do Syslog
Instruções de instalação do fornecedor
Observação
Este conector de dados depende de um analisador baseado em uma Função Kusto para funcionar conforme o esperado, que é implantado como parte da solução. Para exibir o código de função no Log Analytics, abra a folha Log Analytics/Logs do Microsoft Sentinel, clique em Funções e pesquise pelo alias Symantec Proxy SG e carregue o código da função ou clique aqui, na segunda linha da consulta, insira os nomes de host dos dispositivos Symantec Proxy SG e quaisquer outros identificadores exclusivos para o fluxo de log. A função geralmente leva de 10 a 15 minutos para ser ativada após a instalação/atualização da solução.
- Instalar e integrar o agente para Linux
De modo geral, você deve instalar o agente em um computador diferente daquele a partir do qual os logs são gerados.
Os logs do Syslog são coletados apenas junto a agentes do Linux.
- Configurar os logs a serem coletados
Configurar as facilidades que você deseja coletar e os respectivo níveis de gravidades.
Nas definições da Configuração avançada do workspace, selecione Dados e, em seguida, Syslog.
Selecione Aplicar a configuração abaixo às minhas máquinas e selecione as facilidades e níveis de gravidade.
Clique em Salvar.
Configurar e conectar o Symantec ProxySG
Entre no Console de Gerenciamento do Blue Coat.
Selecione Configuração > Logs de acesso > Formatos.
Selecione Novo.
Insira um nome exclusivo no campo Nome do Formato.
Clique no botão de opção para Cadeia de caracteres de formato personalizado e cole a cadeia de caracteres a seguir no campo.
1 $(date) $(time) $(time-taken) $(c-ip) $(cs-userdn) $(cs-auth-groups) $(x-exception-id) $(sc-filter-result) $(cs-categories) $(quot)$(cs(Referer))$(quot) $(sc-status) $(s-action) $(cs-method) $(quot)$(rs(Content-Type))$(quot) $(cs-uri-scheme) $(cs-host) $(cs-uri-port) $(cs-uri-path) $(cs-uri-query) $(cs-uri-extension) $(quot)$(cs(User-Agent))$(quot) $(s-ip) $(sr-bytes) $(rs-bytes) $(x-virus-id) $(x-bluecoat-application-name) $(x-bluecoat-application-operation) $(cs-uri-port) $(x-cs-client-ip-country) $(cs-threat-risk)
Próximas etapas
Para obter mais informações, acesse a solução relacionada no Azure Marketplace.