Соединитель Forescout для Microsoft Sentinel
Соединитель данных Forescout предоставляет возможность приема событий Forescout в Microsoft Sentinel. Дополнительные сведения см. в документации Forescout.
Это автоматически сформированное содержимое. Для изменений обратитесь к поставщику решений.
Атрибуты соединителя
| Атрибут соединителя | Description |
|---|---|
| Таблицы Log Analytics | Syslog(ForescoutEvent) |
| Поддержка правил сбора данных | Преобразование DCR рабочей области |
| Поддерживается | Корпорация Майкрософт |
Примеры запросов
Лучшие 10 источников
ForescoutEvent
| summarize count() by tostring(SrcIpAddr)
| top 10 by count_
Инструкции по установке поставщика
Примечание.
Этот соединитель данных зависит от средства синтаксического анализа на основе функции Kusto, которая должна работать должным образом, что ForescoutEvent развертывается с помощью решения Microsoft Sentinel.
Примечание.
Этот соединитель данных разработан с помощью подключаемого модуля Syslog Forescout: версии 3.6
- Установка и подключение агента для Linux или Windows
Установите агент на сервере, где пересылаются журналы Forescout.
Журналы из сервера Forescout, развернутого на серверах Linux или Windows, собираются агентами Linux или Windows .
- Настройка журналов для сбора
Настройте объекты, которые необходимо собрать, и соответствующие уровни серьезности.
В разделе "Конфигурация дополнительных параметров рабочей области" выберите "Данные" и "Системный журнал".
Выберите " Применить" на моих компьютерах и выберите объекты и серьезность.
Нажмите кнопку Сохранить.
Настройка пересылки событий Forescout
Выполните приведенные ниже действия по настройке, чтобы получить журналы Forescout в Microsoft Sentinel.
- Выберите устройство для настройки.
- Следуйте этим инструкциям , чтобы перенаправить оповещения с платформы Forescout на сервер системного журнала.
- Настройте параметры на вкладке "Триггеры системного журнала".
Следующие шаги
Дополнительные сведения см. в связанном решении в Azure Marketplace.