Соединитель NXLog LinuxAudit для Microsoft Sentinel
Соединитель данных NXLog LinuxAudit поддерживает пользовательские правила аудита и собирает журналы без аудита или любого другого программного обеспечения для пространства пользователя. IP-адреса и идентификаторы групп и пользователей разрешаются в соответствующие им имена, что делает журналы аудита Linux более читаемыми для аналитиков безопасности. Этот соединитель REST API может эффективно экспортировать события безопасности Linux в Microsoft Sentinel в режиме реального времени.
Это автоматически сформированное содержимое. Для изменений обратитесь к поставщику решений.
Атрибуты соединителя
| Атрибут соединителя | Description |
|---|---|
| Таблицы Log Analytics | LinuxAudit_CL |
| Поддержка правил сбора данных | В настоящий момент не поддерживается |
| Поддерживается | NXLog |
Примеры запросов
Наиболее частый тип
LinuxAudit_CL
| summarize EventCount = count() by type_s
| where strlen(type_s) > 1
| render barchart
Наиболее частые коммы
LinuxAudit_CL
| summarize EventCount = count() by comm_s
| where strlen(comm_s) > 1
| render barchart
Наиболее частое имя
LinuxAudit_CL
| summarize EventCount = count() by name_s
| where strlen(name_s) > 1
| render barchart
Инструкции по установке поставщика
Чтобы настроить этот соединитель, следуйте пошаговые инструкции в разделе интеграции с руководством пользователя NXLog в Microsoft Sentinel.
Следующие шаги
Дополнительные сведения см. в соответствующем решении.