[Preterido] Conector Symantec ProxySG para Microsoft Sentinel

  • Artigo

Importante

A coleta de logs de muitos dispositivos e dispositivos agora é suportada pelo Common Event Format (CEF) via AMA, Syslog via AMA ou Custom Logs via conector de dados AMA no Microsoft Sentinel. Para obter mais informações, veja Localizar o conector de dados do Microsoft Sentinel.

O Symantec ProxySG permite que você conecte facilmente seus logs do Symantec ProxySG ao Microsoft Sentinel, para visualizar painéis, criar alertas personalizados e melhorar as investigações. A integração do Symantec ProxySG com o Microsoft Sentinel fornece mais visibilidade ao tráfego de proxy de rede da sua organização e melhorará os recursos de monitoramento de segurança.

Trata-se de conteúdo gerado automaticamente. Para alterações, entre em contato com o provedor da solução.

Atributos do conector

Atributo do conector Description
Tabela(s) do Log Analytics Syslog (SymantecProxySG)
Suporte a regras de coleta de dados Transformar DCR no espaço de trabalho
Apoiado por Corporação Microsoft

Exemplos de consulta

Top 10 Usuários Negados

SymantecProxySG 

| where sc_filter_result == 'DENIED' 

| summarize count() by cs_userdn 

| top 10 by count_

Top 10 IPs de clientes negados

SymantecProxySG 

| where sc_filter_result == 'DENIED' 

| summarize count() by c_ip 

| top 10 by count_

Pré-requisitos

Para integrar com o [Preterido] Symantec ProxySG, certifique-se de:

  • Symantec ProxySG: deve ser configurado para exportar logs via Syslog

Instruções de instalação do fornecedor

Nota

Esse conector de dados depende de um analisador baseado em uma função Kusto para funcionar conforme o esperado, que é implantado como parte da solução. Para visualizar o código da função no Log Analytics, abra a folha Log Analytics/Microsoft Sentinel Logs, clique em Funções e procure o alias Symantec Proxy SG e carregue o código da função ou clique aqui, na segunda linha da consulta, insira o(s) nome(s) do(s) seu(s) dispositivo(s) Symantec Proxy SG e quaisquer outros identificadores exclusivos para o fluxo de log. A função geralmente leva de 10 a 15 minutos para ser ativada após a instalação/atualização da solução.

  1. Instalar e integrar o agente para Linux

Normalmente, você deve instalar o agente em um computador diferente daquele em que os logs são gerados.

Os logs do Syslog são coletados somente de agentes Linux .

  1. Configurar os logs a serem coletados

Configure as instalações que deseja coletar e suas gravidades.

  1. Em Configurações avançadas do espaço de trabalho Configuração, selecione Dados e, em seguida, Syslog.

  2. Selecione Aplicar configuração abaixo às minhas máquinas e selecione as instalações e gravidades.

  3. Clique em Guardar.

  4. Configurar e conectar o Symantec ProxySG

  5. Inicie sessão na consola de gestão Blue Coat .

  6. Selecione Configuração > de Formatos de Log de Acesso > .

  7. Selecione Novo.

  8. Insira um nome exclusivo no campo Nome do formato.

  9. Clique no botão de opção para Cadeia de caracteres de formato personalizado e cole a seguinte cadeia de caracteres no campo.

1 $(date) $(time) $(time-taken) $(c-ip) $(cs-userdn) $(cs-auth-groups) $(x-exception-id) $(sc-filter-result) $(cs-categories) $(quot)$(cs(Referer))$(quot) $(sc-status) $(s-action) $(cs-method) $(quot)$(rs(Content-Type))$(quot) $(cs-uri-scheme) $(cs-host) $(cs-uri-port) $(cs-uri-path) $(cs-uri-query) $(cs-uri-extension) $(quot)$(cs(User-Agent))$(quot) $(s-ip) $(sr-bytes) $(rs-bytes) $(x-virus-id) $(x-bluecoat-application-name) $(x-bluecoat-application-operation) $(cs-uri-port) $(x-cs-client-ip-country) $(cs-threat-risk)

6. Clique no botão **OK**. 7. Clique no botão **Aplicar**. 8. [Siga estas instruções](https://knowledge.broadcom.com/external/article/166529/sending-access-logs-to-a-syslog-server.html) para ativar o streaming syslog de **Access** Logs. Use o endereço IP ou nome de host para o dispositivo Linux com o agente Linux instalado como o endereço IP de destino

Próximos passos

Para obter mais informações, vá para a solução relacionada no Azure Marketplace.