CEF a través del conector de datos AMA: configure un dispositivo específico para la ingesta de datos de Microsoft Sentinel
La recopilación de registros de muchos dispositivos de seguridad y dispositivos es compatible con common Event Format (CEF) a través del conector de datos AMA en Microsoft Sentinel. En este artículo se enumeran las instrucciones de instalación proporcionadas por el proveedor para dispositivos y dispositivos de seguridad específicos que usan este conector de datos. Póngase en contacto con el proveedor para obtener actualizaciones, más información o dónde la información no está disponible para el dispositivo de seguridad o el dispositivo.
Para ingerir datos en el área de trabajo de Log Analytics para Microsoft Sentinel, complete los pasos descritos en Ingesta de mensajes syslog y CEF en Microsoft Sentinel con el agente de Azure Monitor. Estos pasos incluyen la instalación del formato de evento común (CEF) a través del conector de datos AMA en Microsoft Sentinel. Una vez instalado el conector, use las instrucciones adecuadas para el dispositivo, que se muestran más adelante en este artículo, para completar la configuración.
Para obtener más información sobre la solución de Microsoft Sentinel relacionada para cada uno de estos dispositivos o dispositivos, busque Azure Marketplace para las plantillas de solución de tipo>de producto o revise la solución desde el centro de contenido de Microsoft Sentinel.
Importante
Microsoft Sentinel está disponible con carácter general en la plataforma de operaciones de seguridad unificada de Microsoft en el portal de Microsoft Defender. Para la versión preliminar, Microsoft Sentinel está disponible en el portal de Microsoft Defender sin Microsoft Defender XDR ni una licencia E5. Para obtener más información, consulte Microsoft Sentinel en el portal de Microsoft Defender.
AI Analyst Darktrace
Configure Darktrace para reenviar mensajes de syslog en formato CEF al área de trabajo de Azure a través del agente de syslog.
- En el visualizador de amenazas de Darktrace, vaya a la página System Config (Configuración del sistema) en el menú principal bajo Admin (Administración).
- En el menú de la izquierda, seleccione Módulos y elija Microsoft Sentinel en las integraciones de flujo de trabajo disponibles.
- Busque CEF de syslog de Microsoft Sentinel y seleccione Nuevo para mostrar las opciones de configuración, a menos que ya esté expuesta.
- En el campo Server configuration (Configuración del servidor), escriba la ubicación del reenviador de registros y, opcionalmente, modifique el puerto de comunicación. Asegúrese de que el puerto seleccionado está establecido en 514 y que lo permiten los firewalls intermedios.
- Configure los umbrales de alerta, desplazamientos de tiempo u otras opciones según sea necesario.
- Revise cualquier otra opción de configuración que desee habilitar para modificar la sintaxis de syslog.
- Habilite Send Alerts (Enviar alertas) y guarde los cambios.
Akamai Security Events
Siga estos pasos para configurar el conector CEF de Akamai para enviar mensajes de syslog en formato CEF a la máquina proxy. Asegúrese de enviar los registros al puerto TCP 514 en la dirección IP de la máquina.
AristaAwakeSecurity
Complete los pasos siguientes para reenviar los resultados de la coincidencia del modelo adversario despierto a un recopilador CEF que escucha en el puerto TCP 514 en IP 192.168.0.1:
- Vaya a la página Aptitudes de administración de detección en la interfaz de usuario despierta.
- Seleccione + Agregar nueva aptitud.
- Establecer expresión en
integrations.cef.tcp { destination: "192.168.0.1", port: 514, secure: false, severity: Warning }
- Establezca Título en un nombre descriptivo como, Forward Awake Adversarial Model match result (Reenviar modelo adversario despierto) a Microsoft Sentinel.
- Establezca Identificador de referencia en algo fácil de detectar como integrations.cef.sentinel-forwarder.
- Seleccione Guardar.
En unos minutos después de guardar la definición y otros campos, el sistema comienza a enviar nuevos resultados de coincidencia de modelo al recopilador de eventos CEF a medida que se detectan.
Para obtener más información, consulte la página Agregar una integración de inserción de administración de eventos e información de seguridad de la documentación de Ayuda en la interfaz de usuario despierta.
Aruba ClearPass
Configure Aruba ClearPass para reenviar mensajes de syslog en formato CEF al área de trabajo de Microsoft Sentinel a través del agente de syslog.
- Siga estas instrucciones para configurar Aruba ClearPass para reenviar Syslog.
- Use la dirección IP o el nombre de host para el dispositivo Linux con el agente de Linux instalado como dirección IP de destino.
Barracuda WAF
El firewall de aplicaciones web barracuda se puede integrar con registros y exportarlos directamente a Microsoft Sentinel a través del Agente de supervisión de Azure (AMA).
Vaya a Configuración de WAF de Barracuda y siga las instrucciones, con los parámetros siguientes para configurar la conexión.
Instalación de registros de Firewall web: vaya a la configuración avanzada del área de trabajo y en las pestañas Data>Syslog. Asegúrese de que la instalación existe.
Observe que los datos de todas las regiones se almacenan en el área de trabajo seleccionada.
Broadcom SymantecDLP
Configure Symantec DLP para reenviar mensajes de syslog en formato CEF al área de trabajo de Microsoft Sentinel a través del agente de syslog.
- Siga estas instrucciones para configurar Symantec DLP para reenviar Syslog
- Use la dirección IP o el nombre de host para el dispositivo Linux con el agente de Linux instalado como dirección IP de destino.
Cisco Firepower EStreamer
Instale y configure el cliente de eStreamer de Firepower eNcore. Para obtener más información, consulte la guía de instalación completa.
CiscoSEG
Complete los pasos siguientes para configurar Cisco Secure Email Gateway para reenviar los registros a través de syslog:
- Configure la suscripción de registro.
- Seleccione Registros de eventos consolidados en el campo Tipo de registro.
Citrix Web App Firewall
Configure Citrix WAF para enviar mensajes de syslog en formato CEF a la máquina proxy.
Busque guías para configurar los registros waf y CEF desde Citrix Support.
Siga esta guía para reenviar los registros al proxy. Asegúrese de enviar los registros al puerto TCP 514 en la dirección IP de la máquina Linux.
Claroty
Configure el reenvío de registros mediante CEF.
- Vaya a la sección Syslog del menú Configuración.
- Seleccione +Agregar.
- En el cuadro de diálogo Agregar nuevo syslog, especifique ip del servidor remoto, puerto, protocolo.
- Seleccione CEF formato - de mensaje.
- Elija Guardar para salir del cuadro de diálogo Agregar Syslog.
Contrast Protect
Configure el agente de Contrast Protect para reenviar eventos a syslog como se describe aquí: https://docs.contrastsecurity.com/en/output-to-syslog.html. Genere algunos eventos de ataque para la aplicación.
CrowdStrike Falcon
Implemente crowdStrike Falcon SIEM Collector para reenviar mensajes syslog en formato CEF al área de trabajo de Microsoft Sentinel a través del agente de syslog.
- Siga estas instrucciones para implementar el recopilador DE SIEM y reenviar syslog.
- Use la dirección IP o el nombre de host del dispositivo Linux con el agente de Linux instalado como dirección IP de destino.
CyberArk Enterprise Password Vault (EPV) Events
En EPV, configure el dbparm.ini para enviar mensajes de syslog en formato CEF al equipo proxy. Asegúrese de enviar los registros al puerto TCP 514 en la dirección IP de la máquina.
Delinea Secret Server
Establezca la solución de seguridad para enviar mensajes de syslog en formato CEF al equipo proxy. Asegúrese de enviar los registros al puerto TCP 514 en la dirección IP de la máquina.
Reveal(x) de ExtraHop
Establezca la solución de seguridad para enviar mensajes de syslog en formato CEF al equipo proxy. Asegúrese de enviar los registros al puerto TCP 514 en la dirección IP de la máquina.
- Siga las instrucciones para instalar el paquete de ExtraHop Detection SIEM Connector en el sistema Reveal(x). El conector SIEM es necesario para esta integración.
- Habilite el desencadenador para extraHop Detection SIEM Connector - CEF.
- Actualice el desencadenador con los destinos de syslog ods que ha creado.
El sistema Reveal(x) da formato a los mensajes de syslog con el formato de evento común (CEF) y, a continuación, envía los datos a Microsoft Sentinel.
Redes F5
Configure F5 para reenviar mensajes de syslog en formato CEF al área de trabajo de Microsoft Sentinel a través del agente de syslog.
Vaya a Configuración del registro de eventos de seguridad de la aplicación de F5 y siga las instrucciones para configurar el registro remoto mediante estas directrices:
- Establezca Remote storage type (Tipo de almacenamiento remoto) en CEF.
- Establezca la opción Protocolo en UDP.
- Establezca la dirección IP en la dirección IP del servidor syslog.
- Establezca el número de puerto en 514 o el puerto que usa el agente.
- Establezca la instalación en la que configuró en el agente de syslog. De forma predeterminada, el agente establece este valor en local4.
- Puede establecer el tamaño máximo de cadena de consulta para que sea el mismo que configuró.
Seguridad de red de FireEye
Complete los estos pasos para enviar datos mediante CEF:
Inicie sesión en el dispositivo FireEye con una cuenta de administrador.
Seleccione Configuración.
Selecciona Notificaciones. Seleccione rsyslog.
Active la casilla Tipo de evento.
Asegúrese de que la configuración de Rsyslog sea la siguiente:
- Formato predeterminado: CEF
- Entrega predeterminada: por evento
- Envío predeterminado como: Alerta
Forcepoint CASB
Establezca la solución de seguridad para enviar mensajes de syslog en formato CEF al equipo proxy. Asegúrese de enviar los registros al puerto TCP 514 en la dirección IP de la máquina.
Forcepoint CSG
La integración está disponible con dos opciones de implementación:
- Usa imágenes de Docker en las que el componente de integración ya está instalado con todas las dependencias necesarias. Siga las instrucciones proporcionadas en la Guía de integración.
- Requiere la implementación manual del componente de integración dentro de una máquina Linux limpia. Siga las instrucciones proporcionadas en la Guía de integración.
Forcepoint NGFW
Establezca la solución de seguridad para enviar mensajes de syslog en formato CEF al equipo proxy. Asegúrese de enviar los registros al puerto TCP 514 en la dirección IP de la máquina.
Common Audit de ForgeRock para CEF
En ForgeRock, instale y configure esta auditoría común (CAUD) para Microsoft Sentinel según la documentación de https://github.com/javaservlets/SentinelAuditEventHandler. A continuación, en Azure, siga los pasos para configurar cef a través del conector de datos AMA.
Fortinet
Configure Fortinet para enviar los mensajes de Syslog en formato CEF a la máquina proxy. Asegúrese de enviar los registros al puerto TCP 514 en la dirección IP de la máquina.
Copie los comandos de la CLI siguientes y:
- Reemplace "<dirección IP> del servidor" por la dirección IP del agente de Syslog.
- Establezca el valor de "<facility_name>" para usar el recurso que configuró en el agente de Syslog (de manera predeterminada, el agente establece esta opción en local4).
- Establezca el puerto de Syslog en 514, el puerto que usa el agente.
- Para habilitar el formato CEF en las primeras versiones de FortiOS, es posible que deba ejecutar el comando "set csv disable".
Para más información, vaya a la biblioteca de documentos de Fortinet, elija su versión y use los documentos PDF "Handbook" y "Log Message Reference".
Configure la conexión mediante la CLI para ejecutar los siguientes comandos: config log syslogd setting/n set status enable/nset format cef/nset port 514/nset server <ip_address_of_Receiver>/nend
iboss
Establezca la consola de amenazas para enviar mensajes de syslog en formato CEF al área de trabajo de Azure. Anote el identificador del área de trabajo y la clave principal en el área de trabajo de Log Analytics. Seleccione el área de trabajo desde el menú Áreas de trabajo de Log Analytics en Azure Portal. A continuación, seleccione Administración de agentes en la sección Configuración.
- Vaya a Reporting & Analytics dentro de la consola de iboss.
- Seleccione Reenvío de>registros desde Reporter.
- Seleccione Acciones>Agregar servicio.
- Cambie a Microsoft Sentinel como tipo de servicio y escriba el identificador del área de trabajo o la clave principal junto con otros criterios. Si se configuró una máquina Linux de proxy dedicado, cambie a Syslog como tipo de servicio y configure las opciones para que apunten a la máquina Linux proxy dedicada.
- Espere uno a dos minutos para que se complete la configuración.
- Seleccione el servicio Microsoft Sentinel y compruebe que el estado de instalación de Microsoft Sentinel se ha realizado correctamente. Si se configura una máquina Linux proxy dedicada, es posible que valide la conexión.
Illumio Core
Configure el formato de evento.
- En el menú de la consola web de PCE, elija Configuración y Configuración de eventos para ver la configuración actual.
- Seleccione Editar para cambiar la configuración.
- Establezca Formato de evento en CEF.
- (Opcional) Configure la gravedad del evento y el período de retención.
Configure el reenvío de eventos a un servidor syslog externo.
- En el menú de la consola web de PCE, elija Configuración configuración de> eventos.
- Seleccione Agregar.
- Seleccione Agregar repositorio.
- Complete el cuadro de diálogo Agregar repositorio.
- Seleccione Aceptar para guardar la configuración de reenvío de eventos.
Illusive Platform
Establezca la solución de seguridad para enviar mensajes de syslog en formato CEF al equipo proxy. Asegúrese de enviar los registros al puerto TCP 514 en la dirección IP de la máquina.
Inicie sesión en la consola illusiva y vaya a Informes de configuración>.
Busque servidores de Syslog.
Proporcione la siguiente información:
- Nombre de host: dirección IP del agente syslog de Linux o nombre de host de FQDN
- Puerto: 514
- Protocolo: TCP
- Mensajes de auditoría: Enviar mensajes de auditoría al servidor
Para agregar el servidor syslog, seleccione Agregar.
Para obtener más información sobre cómo agregar un nuevo servidor syslog en la plataforma Illusive, busque la Guía de administración de Illusive Networks aquí: https://support.illusivenetworks.com/hc/en-us/sections/360002292119-Documentation-by-Version
Imperva WAF Gateway
Este conector requiere que se cree una interfaz de acción y un conjunto de acciones en Imperva SecureSphere MX. Siga los pasos para crear los requisitos.
- Cree una nueva interfaz de acción que contenga los parámetros necesarios para enviar alertas de WAF a Microsoft Sentinel.
- Cree un nuevo conjunto de acciones que use la interfaz de acción configurada.
- Aplique el conjunto de acciones a cualquier directiva de seguridad que quiera tener alertas para enviar a Microsoft Sentinel.
Infoblox Cloud Data Connector
Complete los pasos siguientes para configurar el CDC de Infoblox para enviar datos de BloxOne a Microsoft Sentinel a través del agente de syslog de Linux.
- Vaya a Administrar>conector de datos.
- Seleccione la pestaña Configuración de destino en la parte superior.
- Seleccione Crear > Syslog.
- Nombre: asigne al nuevo destino un nombre descriptivo, como Microsoft-Sentinel-Destination.
- Descripción: opcionalmente, asígnele una descripción significativa.
- Estado: establezca el estado en habilitado.
- Formato: establezca el formato en CEF.
- FQDN/IP: escriba la dirección IP del dispositivo Linux en el que está instalado el agente de Linux.
- Puerto: deje el número de puerto en 514.
- Protocolo: seleccione el protocolo deseado y el Certificado de entidad de certificación si procede.
- Selecciona Guardar y cerrar.
- Seleccione la pestaña Configuración del flujo de tráfico en la parte superior.
- Seleccione Crear.
- Nombre: asigne al nuevo flujo de tráfico un nombre descriptivo, como Microsoft-Sentinel-Flow.
- Descripción: opcionalmente, asígnele una descripción significativa.
- Estado: establezca el estado en habilitado.
- Expanda la sección Instancia de servicio.
- Instancia de servicio: seleccione la instancia de servicio deseada para la que está habilitado el servicio Conector de datos.
- Expanda la sección Source Configuration (Configuración de origen).
- Origen: seleccione BloxOne Cloud Source (Origen de nube de BloxOne).
- Seleccione todos los tipos de registro deseados que quiera recopilar. Los tipos de registro admitidos actualmente son los siguientes:
- Registro de consultas y respuestas de Threat Defense
- Registro de aciertos de fuentes de amenazas de Threat Defense
- Registro de consultas y respuestas de DDI
- Registro de concesión de DHCP de DDI
- Expanda la sección Configuración de destino.
- Seleccione el destino que creó.
- Selecciona Guardar y cerrar.
- Espere un poco a que la configuración se active.
Infoblox SOC Insights
Complete los pasos siguientes para configurar el CDC de Infoblox para enviar datos de BloxOne a Microsoft Sentinel a través del agente de syslog de Linux.
- Vaya a Administrar > Conector de datos.
- Seleccione la pestaña Configuración de destino en la parte superior.
- Seleccione Crear > Syslog.
- Nombre: asigne al nuevo destino un nombre descriptivo, como Microsoft-Sentinel-Destination.
- Descripción: opcionalmente, asígnele una descripción significativa.
- Estado: establezca el estado en habilitado.
- Formato: establezca el formato en CEF.
- FQDN/IP: escriba la dirección IP del dispositivo Linux en el que está instalado el agente de Linux.
- Puerto: deje el número de puerto en 514.
- Protocolo: seleccione el protocolo deseado y el Certificado de entidad de certificación si procede.
- Selecciona Guardar y cerrar.
- Seleccione la pestaña Configuración del flujo de tráfico en la parte superior.
- Seleccione Crear.
- Nombre: asigne al nuevo flujo de tráfico un nombre descriptivo, como Microsoft-Sentinel-Flow.
- Descripción: opcionalmente, asígnele una descripción significativa.
- Estado: establezca el estado en habilitado.
- Expanda la sección Instancia de servicio.
- Instancia de servicio: seleccione la instancia de servicio deseada para la que está habilitado el servicio del conector de datos.
- Expanda la sección Source Configuration (Configuración de origen).
- Origen: seleccione BloxOne Cloud Source (Origen de nube de BloxOne).
- Seleccione el tipo de registro de notificaciones internas.
- Expanda la sección Configuración de destino.
- Seleccione el destino que creó.
- Selecciona Guardar y cerrar.
- Espere un poco a que la configuración se active.
KasperskySecurityCenter
Siga las instrucciones para configurar la exportación de eventos desde Kaspersky Security Center.
Morphisec
Establezca la solución de seguridad para enviar mensajes de syslog en formato CEF al equipo proxy. Asegúrese de enviar los registros al puerto TCP 514 en la dirección IP de la máquina.
Netwrix Auditor
Siga las instrucciones para configurar la exportación de eventos desde Netwrix Auditor.
NozomiNetworks
Complete los pasos siguientes para configurar el dispositivo Nozomi Networks para enviar alertas, auditorías y registros de estado a través de syslog en formato CEF:
- Inicie sesión en la consola de Guardian.
- Vaya a Administración> Integración de datos.
- Seleccione +Agregar.
- Seleccione el formato de evento común (CEF) en la lista desplegable.
- Cree un nuevo punto de conexión con la información de host adecuada.
- Habilite alertas, registros de auditoría y registros de estado para el envío.
Onapsis Platform
Consulte la ayuda del producto de Onapsis para configurar el reenvío de registros en el agente de syslog.
Vaya a Configuración de>integraciones de terceros Defender Alarms> y siga las instrucciones de Microsoft Sentinel.
Asegúrese de que la consola de Onapsis puede acceder a la máquina proxy donde está instalado el agente. Los registros deben enviarse al puerto 514 mediante TCP.
OSSEC
Siga estos pasos para configurar las alertas de envío de OSSEC a través de syslog.
Palo Alto - XDR (Cortex)
Configure Palo Alto XDR (Cortex) para reenviar mensajes en formato CEF al área de trabajo de Microsoft Sentinel a través del agente de syslog.
- Vaya a Configuración y configuraciones de Cortex.
- Seleccione esta opción para agregar nuevo servidor en Aplicaciones externas.
- A continuación, especifique el nombre y asigne la dirección IP pública del servidor syslog en Destino.
- Asigne el número de puerto como 514.
- En el campo Instalación, seleccione FAC_SYSLOG en la lista desplegable.
- Seleccione Protocolo como UDP.
- Seleccione Crear.
PaloAlto-PAN-OS
Configure Palo Alto Networks para reenviar mensajes de syslog en formato CEF al área de trabajo de Microsoft Sentinel a través del agente de syslog.
Vaya a Configure Palo Alto Networks NGFW for sending CEF events.
Vaya a Palo Alto CEF Configuration y a los pasos 2 y 3 de Configure Syslog Monitoring de Palo Alto, elija la versión y siga las instrucciones que se indican a continuación:
- Establezca el formato del servidor syslog en BSD.
- Copie el texto en un editor y quite los caracteres que puedan interrumpir el formato de registro antes de pegarlo. Las operaciones de copiar y pegar desde el archivo PDF pueden cambiar el texto e insertar caracteres aleatorios.
PaloAltoCDL
Siga las instrucciones para configurar el reenvío de registros desde Cortex Data Lake a un servidor syslog.
PingFederate
Siga estos pasos para configurar PingFederate para enviar el registro de auditoría a través de Syslog en formato CEF.
RidgeSecurity
Configure RidgeBot para reenviar eventos al servidor syslog como se describe aquí. Genere algunos eventos de ataque para la aplicación.
SonicWall Firewall
Establezca el Firewall de SonicWall para enviar mensajes de syslog en formato CEF a la máquina proxy. Asegúrese de enviar los registros al puerto TCP 514 en la dirección IP de la máquina.
Siga las instrucciones. A continuación, asegúrese de seleccionar el uso local 4 como recurso. A continuación, seleccione ArcSight como formato de syslog.
Trend Micro Apex One
Siga estos pasos para configurar el envío de alertas de Apex Central mediante syslog. Durante la configuración, en el paso 6, seleccione el formato de registro CEF.
Trend Micro Deep Security
Establezca la solución de seguridad para enviar mensajes de syslog en formato CEF al equipo proxy. Asegúrese de enviar los registros al puerto TCP 514 en la dirección IP de la máquina.
- Reenvíe los eventos de Trend Micro Deep Security al agente de syslog.
- Defina una nueva configuración de syslog que use el formato CEF haciendo referencia a este artículo de conocimientos para obtener información adicional.
- Configure Deep Security Manager para usar esta nueva configuración para reenviar eventos al agente de syslog mediante estas instrucciones.
- Asegúrese de guardar la función TrendMicroDeepSecurity para que consulte correctamente los datos de Deep Security de Trend Micro.
Trend Micro TippingPoint
Establezca el SMS de TippingPoint para enviar mensajes syslog en formato CEF de ArcSight v4.2 al equipo proxy. Asegúrese de enviar los registros al puerto TCP 514 en la dirección IP de la máquina.
vArmour Application Controller
Envíe mensajes de syslog en formato CEF al equipo proxy. Asegúrese de enviar los registros al puerto TCP 514 en la dirección IP de la máquina.
Descargue la guía del usuario de https://support.varmour.com/hc/en-us/articles/360057444831-vArmour-Application-Controller-6-0-User-Guide. En la guía del usuario, consulte "Configuración de Syslog para la supervisión y las infracciones" y siga los pasos 1 a 3.
Vectra AI Detect
Configure el agente de Vectra (serie X) para reenviar mensajes de syslog en formato CEF al área de trabajo de Microsoft Sentinel a través del agente de syslog.
En la interfaz de usuario de Vectra, vaya a Notificaciones de configuración > y Editar configuración de syslog. Siga estas instrucciones para configurar la conexión:
- Agregue un nuevo destino (que es el host donde se ejecuta el agente de syslog de Microsoft Sentinel).
- Establezca el puerto como 514.
- Establezca el protocolo como UDP.
- Establezca el formato en CEF.
- Establezca Tipos de registro. Seleccione todos los tipos de registro disponibles.
- Seleccione Guardar.
- Seleccione el botón Probar para enviar algunos eventos de prueba.
Para obtener más información, vea la Guía de Syslog de detección de Cognito, que se puede descargar desde la página de recursos de Detect UI.
Votiro
Establezca Puntos de conexión de Votiro para enviar mensajes de syslog en formato CEF a la máquina del reenviador. Asegúrese de enviar los registros al puerto 514 TCP en la dirección IP del equipo reenviador.
Plataforma de análisis forense de redes de WireX
Póngase en contacto con el soporte técnico de WireX (https://wirexsystems.com/contact-us/) para configurar la solución NFP para enviar mensajes de syslog en formato CEF al equipo proxy. Asegúrese de que el administrador central puede enviar los registros al puerto TCP 514 en la dirección IP de la máquina.
WithSecure Elements via Connector
Conecte el dispositivo WithSecure Elements Connector a Microsoft Sentinel. El conector de datos withSecure Elements Connector permite conectar fácilmente los registros de Elementos WithSecure con Microsoft Sentinel, ver paneles, crear alertas personalizadas y mejorar la investigación.
Nota:
Los datos se almacenan en la ubicación geográfica del área de trabajo en la que se ejecute Microsoft Sentinel.
Configure With Secure Elements Connector para reenviar mensajes de syslog en formato CEF al área de trabajo de Log Analytics a través del agente de syslog.
- Seleccione o cree una máquina Linux para Que Microsoft Sentinel la use como proxy entre la solución WithSecurity y Microsoft Sentinel. La máquina puede ser un entorno local, Microsoft Azure u otro entorno basado en la nube. Linux debe tener instalados
syslog-ng
ypython
/python3
. - Instale Azure Monitoring Agent (AMA) en la máquina Linux y configure la máquina para que escuche en el puerto necesario y reenvíe los mensajes al área de trabajo de Microsoft Sentinel. El recopilador CEF recopila mensajes CEF en el puerto TCP 514. Debe tener permisos elevados (sudo) en la máquina.
- Vaya a EPP en WithSecure Elements Portal. A continuación, vaya a Descargas. En la sección Conector de elementos , seleccione Crear clave de suscripción. Puede comprobar la clave de suscripción en Suscripciones.
- En la sección Descargas de WithSecure Elements Connector , seleccione el instalador correcto y descárguelo.
- Cuando esté en EPP, abra la configuración de la cuenta desde la esquina superior derecha. A continuación, seleccione Obtener clave de API de administración. Si la clave se creó anteriormente, también se puede leer allí.
- Para instalar Elements Connector, siga los documentos del conector de Elements.
- Si el acceso a la API no está configurado durante la instalación, siga Configuración del acceso de API para Elements Connector.
- Vaya a EPP y, a continuación , a Perfiles y, a continuación, use Para conector desde donde puede ver los perfiles del conector. Cree un perfil (o edite un perfil existente que no sea de solo lectura). En Reenvío de eventos, habilite. Establezca la dirección del sistema SIEM: 127.0.0.1:514. Establezca el formato en Common Event Format (Formato de evento común). El protocolo es TCP. Guarde el perfil y asígnelo a Elements Connector en la pestaña Dispositivos .
- Para usar el esquema pertinente en Log Analytics para withSecure Elements Connector, busque CommonSecurityLog.
- Continúe con la validación de la conectividad CEF.
Zscaler
Establezca el producto Zscaler para enviar mensajes de syslog en formato CEF al agente de syslog. Asegúrese de enviar los registros en el puerto TCP 514.
Para más información, consulte guía de integración de Zscaler Microsoft Sentinel.