Home
  •  

Brama usługi ATA nie może przeanalizować komunikatu usługi Syslog SIEM

Microsoft.AdvancedThreatAnalytics.1_8.Gateway.FailedToParseSyslog (Rule)

Reguła umożliwiająca monitorowanie alertu Brama usługi Microsoft ATA 1.8 — nie można przeanalizować komunikatu dziennika systemu SIEM w bramie usługi ATA

Knowledge Base article:

Podsumowanie

Nie można przeanalizować komunikatów dziennika systemu przekazanych z rozwiązania SIEM na poziomie bramy usługi ATA.

Rozwiązania

Sprawdź, czy rozwiązanie SIEM zostało skonfigurowane do przekazywania komunikatów w jednym z formatów obsługiwanych przez usługę ATA.

Element properties:

TargetMicrosoft.AdvancedThreatAnalytics.1_8.Gateway
CategoryAvailabilityHealth
EnabledTrue
Alert GenerateTrue
Alert SeverityError
Alert PriorityNormal
RemotableTrue
Alert Message
Alert dotyczący braku możliwości przeanalizowania komunikatu usługi Syslog SIEM przez bramę usługi ATA

Nie można przeanalizować komunikatu dziennika systemu SIEM przy użyciu bramy usługi ATA
Plik dziennika: {0}
Katalog pliku dziennika: {1}
Dostawca dziennika: {2}
Zarejestrowany wiersz: {3}

Member Modules:

ID Module Type TypeId RunAs 
ATALogFile DataSource Microsoft.AdvancedThreatAnalytics.LogFileProvider Default
Alert WriteAction System.Health.GenerateAlert Default

Source Code:

<Rule ID="Microsoft.AdvancedThreatAnalytics.1_8.Gateway.FailedToParseSyslog" Enabled="true" Target="Microsoft.AdvancedThreatAnalytics.1_8.Gateway" ConfirmDelivery="true" Remotable="true" Priority="Normal" DiscardLevel="100">

  <Category>AvailabilityHealth</Category>

  <DataSources>

    <DataSource ID="ATALogFile" TypeID="Microsoft.AdvancedThreatAnalytics.LogFileProvider">

      <LogFileDirectory>$Target/Property[Type="Microsoft.AdvancedThreatAnalytics.1_8.Gateway"]/InstallationPath$\Logs</LogFileDirectory>

      <LogFilePattern>Microsoft.Tri.Gateway-Errors.log</LogFilePattern>

      <PublisherName>Microsoft.Common.ExtendedException</PublisherName>

      <ErrorStringContains>Failed to parse time generated</ErrorStringContains>

    </DataSource>

  </DataSources>

  <WriteActions>

    <WriteAction ID="Alert" TypeID="Health!System.Health.GenerateAlert">

      <Priority>1</Priority>

      <Severity>2</Severity>

      <AlertMessageId>$MPElement[Name="Microsoft.AdvancedThreatAnalytics.1_8.Gateway.FailedToParseSyslog.AlertMessage"]$</AlertMessageId>

      <AlertParameters>

        <AlertParameter1>$Data/EventData/DataItem/LogFileName$</AlertParameter1>

        <AlertParameter2>$Data/EventData/DataItem/LogFileDirectory$</AlertParameter2>

        <AlertParameter3>$Data/PublisherName$</AlertParameter3>

        <AlertParameter4>$Data/EventDescription$</AlertParameter4>

      </AlertParameters>

      <Suppression>

        <SuppressionValue>$Data/LoggingComputer$</SuppressionValue>

        <SuppressionValue>$Data/EventDescription$</SuppressionValue>

      </Suppression>

    </WriteAction>

  </WriteActions>

</Rule>