[已弃用]Microsoft Sentinel 的数字保护者数据丢失防护连接器
重要
现在,Microsoft Sentinel 中的“通过 AMA 的通用事件格式 (CEF)”、“通过 AMA 的 Syslog”或“通过 AMA 的自定义日志”数据连接器支持从许多设备收集日志。 如需详细信息,请参阅查找 Microsoft Sentinel 数据连接器。
Digital Guardian 数据丢失防护 (DLP) 数据连接器提供将 Digital Guardian DLP 日志引入 Microsoft Sentinel 的功能。
这是自动生成的内容。 有关更改,请联系解决方案提供商。
连接器属性
| 连接器属性 | 说明 |
|---|---|
| Log Analytics 表 | Syslog (DigitalGuardianDLPEvent) |
| 数据收集规则支持 | 工作区转换 DCR |
| 支持的服务 | Microsoft Corporation |
查询示例
前 10 个客户端(源 IP)
DigitalGuardianDLPEvent
| where notempty(SrcIpAddr)
| summarize count() by SrcIpAddr
| top 10 by count_
供应商安装说明
注意
此数据连接器依赖于一个基于 Kusto 函数的分析程序,作为与 Microsoft Sentinel 解决方案一起部署的预期 DigitalGuardianDLPEvent 运行。
- 配置 Digital Guardian 以通过 Syslog 将日志转发到要在其中安装代理的远程服务器。
按照以下步骤将 Digital Guardian 配置为通过 Syslog 转发日志:
1.1. 登录到 Digital Guardian 管理控制台。
1.2. 选择“工作区”>“数据导出”>“创建导出”。
1.3. 从“数据源”列表中,选择“警报”或“事件”作为数据源。
1.4. 从“导出类型”列表中,选择“Syslog”。
1.5. 从“类型”列表中,选择“UDP”或“TCP”作为传输协议。
1.6. 在“服务器”字段中,键入远程 Syslog 服务器的 IP 地址。
1.7. 请在“端口”字段中键入 514(如果 Syslog 服务器配置为使用非默认端口,则使用其他端口)。
1.8. 从“严重级别”列表中选择严重性级别。
1.9. 选中“处于活动状态”复选框。
1.9. 单击“下一步”。
1.10. 从可用字段列表中,为数据导出添加“警报”或“事件”字段。
1.11. 为数据导出中的字段选择“条件”,然后单击“下一步”。
1.12. 选择符合条件的组,单击“下一步”。
1.13. 单击“测试查询”。
1.14. 单击“下一步”。
1.15. 保存数据导出。
- 安装并载入适用于 Linux 或 Windows 的代理
在日志将转发到的服务器上安装代理。
Linux 或 Windows 服务器上的日志由 Linux 或 Windows 代理收集。
- 在 Microsoft Sentinel 中检查日志
打开 Log Analytics 以检查是否使用 Syslog 架构收到日志。
注意:新日志可能需要 15 分钟才会显示在 Syslog 表中。
后续步骤
有关详细信息,请转到 Azure 市场中的相关解决方案。