Соединитель Cribl для Microsoft Sentinel
Соединитель Cribl позволяет легко подключать журналы Cribl (Cribl выпуск Enterprise — автономные) с помощью Microsoft Sentinel. Это дает больше сведений о безопасности конвейеров данных вашей организации.
Это автоматически сформированное содержимое. Для изменений обратитесь к поставщику решений.
Атрибуты соединителя
| Атрибут соединителя | Description |
|---|---|
| Таблицы Log Analytics | CriblAccess_CL CriblAudit_CL CriblUIAccess_CL CriblInternal_CL |
| Поддержка правил сбора данных | В настоящий момент не поддерживается |
| Поддерживается | Cribl |
Примеры запросов
Внутренние журналы Cribl
CriblInternal_CL
| sort by TimeGenerated
Журналы аудита Cribl
CriblAudit_CL
| sort by TimeGenerated
Журналы доступа Cribl
CriblAccess_CL
| sort by TimeGenerated
Журналы доступа к пользовательскому интерфейсу Cribl
CriblUIAccess_CL
| sort by TimeGenerated
Инструкции по установке поставщика
Инструкции по установке и настройке Для Cribl Stream для Microsoft Sentinel
Используйте документацию из этого репозитория GitHub и настройте Cribl Stream с помощью
https://docs.cribl.io/stream/usecase-azure-workspace/
Следующие шаги
Дополнительные сведения см. в связанном решении в Azure Marketplace.