[Не рекомендуется] Соединитель MarkLogic Audit для Microsoft Sentinel

  • Статья

Внимание

Сбор журналов из многих устройств и устройств теперь поддерживается общим форматом событий (CEF) через AMA, Syslog через AMA или пользовательские журналы через соединитель данных AMA в Microsoft Sentinel. Дополнительные сведения см. в статье Поиск нужных соединителей данных Microsoft Sentinel.

Соединитель данных MarkLogic предоставляет возможность приема журналов MarkLogicAudit в Microsoft Sentinel. Дополнительные сведения см. в документации MarkLogic.

Это автоматически сформированное содержимое. Для изменений обратитесь к поставщику решений.

Атрибуты соединителя

Атрибут соединителя Description
Таблицы Log Analytics MarkLogicAudit_CL
Поддержка правил сбора данных В настоящий момент не поддерживается
Поддерживается Корпорация Майкрософт

Примеры запросов

MarkLogicAudit — все действия.

MarkLogicAudit_CL

| sort by TimeGenerated desc

Инструкции по установке поставщика

ПРИМЕЧАНИЕ. Этот соединитель данных зависит от средства синтаксического анализа на основе функции Kusto, которая должна работать должным образом, которая развертывается в рамках решения. Чтобы просмотреть код функции в Log Analytics, откройте колонку Log Analytics/Microsoft Sentinel Logs, щелкните "Функции" и найдите псевдоним MarkLogicAudit и загрузите код функции или щелкните здесь во второй строке запроса, введите имена узлов устройств MarkLogicAudit и другие уникальные идентификаторы для потока журналов. Функция обычно занимает 10–15 минут, чтобы активировать после установки или обновления решения.

  1. Установка и подключение агента для Linux или Windows

Установите агент на сервере Tomcat, где создаются журналы.

Журналы из MarkLogic Server, развернутые на серверах Linux или Windows, собираются агентами Linux или Windows .

  1. Настройка MarkLogicAudit для включения аудита

Выполните следующие действия, чтобы включить аудит для группы:

Доступ к интерфейсу администрирования с помощью браузера;

Откройте экран "Конфигурация аудита" (группы > group_name > аудит);

Нажмите кнопку "True" для переключателя с включенным аудитом;

Настройте все нужные события аудита и (или) ограничения аудита;

Щелкните OK.

Дополнительные сведения см. в документации По MarkLogic

  1. Настройка журналов для сбора

Настройка настраиваемого каталога журнала для сбора

  1. Выберите указанную выше ссылку, чтобы открыть расширенные параметры рабочей области
  2. В левой области выберите "Параметры", выберите "Настраиваемые журналы" и нажмите кнопку "Добавить настраиваемый журнал"
  3. Нажмите кнопку " Обзор" , чтобы отправить пример файла журнала MarkLogicAudit. Затем нажмите кнопку "Далее" >
  4. Выберите метку времени в качестве разделителя записей и нажмите кнопку "Далее" >
  5. Выберите Windows или Linux и введите путь к журналам MarkLogicAudit в зависимости от конфигурации.
  6. После ввода пути нажмите символ "+", который нужно применить, а затем нажмите кнопку "Далее". >
  7. Добавьте MarkLogicAudit в качестве настраиваемого имени журнала (суффикс _CL будет добавлен автоматически) и нажмите кнопку "Готово".

Проверка подключения

Это может занять более 20 минут, пока журналы не начнут отображаться в Microsoft Sentinel.

Следующие шаги

Дополнительные сведения см. в связанном решении в Azure Marketplace.