Бөлісу құралы:

Соединитель ESET Protect Platform (с помощью Функции Azure) для Microsoft Sentinel

  • Мақала

Соединитель данных ESET Protect Platform позволяет пользователям внедрять данные обнаружения из ESET Protect Platform с помощью предоставленного REST API интеграции. REST API интеграции выполняется как запланированное приложение-функция Azure.

Это автоматически сформированное содержимое. Для изменений обратитесь к поставщику решений.

Атрибуты соединителя

Атрибут соединителя Description
Таблицы Log Analytics IntegrationTable_CL
Поддержка правил сбора данных В настоящий момент не поддерживается
Поддерживается Интеграция ESET Enterprise

Примеры запросов

Все записи таблицы, отсортированные по времени

IntegrationTable_CL

| sort by TimeGenerated desc

Необходимые компоненты

Чтобы интегрироваться с платформой защиты ESET (с помощью Функции Azure), убедитесь, что у вас есть:

  • Разрешения Microsoft.Web/sites: требуется разрешение на чтение и запись для Функции Azure для создания приложения-функции. Дополнительные сведения о Функции Azure см. в документации.
  • Разрешение на регистрацию приложения в идентификаторе Microsoft Entra: требуются достаточные разрешения для регистрации приложения в клиенте Microsoft Entra.
  • Разрешение на назначение роли зарегистрированного приложения. Требуется разрешение на назначение роли издателя метрик мониторинга зарегистрированным приложению в идентификаторе Microsoft Entra ID.

Инструкции по установке поставщика

Примечание.

Соединитель данных защиты платформы ESET использует Функции Azure для подключения к платформе ESET Protect Platform через API Eset Connect для извлечения журналов в Microsoft Sentinel. Этот процесс может привести к дополнительным затратам на прием данных. Дополнительные сведения см. на странице цен на Функции Azure.

Шаг 1. Создание пользователя API

Используйте эту инструкцию для создания учетной записи пользователя API ESET Connect с помощью имени входа и пароля.

Шаг 2. Создание зарегистрированного приложения

Создайте зарегистрированное приложение с идентификатором Microsoft Entra, выполнив действия, описанные в инструкции регистрации нового приложения.

Шаг 3. Развертывание соединителя данных защиты платформы ESET с помощью шаблона Azure Resource Manager (ARM)

  1. Нажмите кнопку Deploy to Azure (Развернуть в Azure) ниже.

    Развертывание в Azure

  2. Выберите имя рабочей области Log Analytics, связанной с Microsoft Sentinel. Выберите ту же группу ресурсов, что и группа ресурсов рабочей области Log Analytics.

  3. Введите параметры зарегистрированного приложения в Microsoft Entra ID: идентификатор клиента Azure, секрет клиента Azure, идентификатор клиента Azure, идентификатор объекта. Идентификатор объекта можно найти на портале Azure, следуя этому пути.

Идентификатор Microsoft Entra —> управление (в левом меню) —> корпоративные приложения —> столбец идентификатора объекта (значение рядом с зарегистрированным именем приложения).

  1. Укажите имя входа и пароля учетной записи пользователя API ESET Connect, полученной на шаге 1.

Следующие шаги

Дополнительные сведения см. в связанном решении в Azure Marketplace.