Compartir vía


Syslog a través del conector de datos AMA: configure un dispositivo específico para la ingesta de datos de Microsoft Sentinel

La recopilación de registros de muchos dispositivos de seguridad y dispositivos es compatible con Syslog a través del conector de datos AMA en Microsoft Sentinel. En este artículo se enumeran las instrucciones de instalación proporcionadas por el proveedor para dispositivos y dispositivos de seguridad específicos que usan este conector de datos. Póngase en contacto con el proveedor para obtener actualizaciones, más información o dónde la información no está disponible para el dispositivo de seguridad o el dispositivo.

Para reenviar datos al área de trabajo de Log Analytics para Microsoft Sentinel, complete los pasos descritos en Ingesta de mensajes syslog y CEF en Microsoft Sentinel con el agente de Azure Monitor. A medida que complete esos pasos, instale Syslog a través del conector de datos AMA en Microsoft Sentinel. A continuación, use las instrucciones del proveedor adecuadas de este artículo para completar la configuración.

Para obtener más información sobre la solución de Microsoft Sentinel relacionada para cada uno de estos dispositivos o dispositivos, busque Azure Marketplace para las plantillas de solución de tipo>de producto o revise la solución desde el centro de contenido de Microsoft Sentinel.

Barracuda CloudGen Firewall

Siga las instrucciones para configurar el transmisión de syslog. Use la dirección IP o el nombre de host de la máquina Linux con el agente de Microsoft Sentinel instalado para la dirección IP de destino.

Blackberry CylancePROTECT

Siga estas instrucciones para configurar CylancePROTECT para reenviar syslog. Use la dirección IP o el nombre de host para el dispositivo Linux con el agente de Linux instalado como dirección IP de destino.

Infraestructura centrada en aplicaciones de Cisco (ACI)

Configure el sistema Cisco ACI para enviar registros a través de syslog al servidor remoto donde instale el agente. Siga estos pasos para configurar el destino de Syslog, el grupo de destino y el origen de Syslog.

Este conector de datos se desarrolló mediante Cisco ACI Release 1.x.

Cisco Identity Services Engine (ISE)

Siga estas instrucciones para configurar las ubicaciones remotas de recopilación de Syslog en la implementación de Cisco ISE.

Cisco Stealthwatch

Complete los siguientes pasos de configuración para obtener los registros de Cisco Stealthwatch en Microsoft Sentinel.

  1. Inicie sesión en la Consola de administración de Stealthwatch (SMC) como administrador.

  2. En la barra de menús, seleccione Administración de respuestas de configuración>.

  3. En la sección Acciones del menú Administración de respuestas, seleccione Agregar > mensaje de Syslog.

  4. En la ventana Agregar acción de mensaje de Syslog, configure parámetros.

  5. Escriba el siguiente formato personalizado:

    |Lancope|Stealthwatch|7.3|{alarm_type_id}|0x7C|src={source_ip}|dst={target_ip}|dstPort={port}|proto={protocol}|msg={alarm_type_description}|fullmessage={details}|start={start_active_time}|end={end_active_time}|cat={alarm_category_name}|alarmID={alarm_id}|sourceHG={source_host_group_names}|targetHG={target_host_group_names}|sourceHostSnapshot={source_url}|targetHostSnapshot={target_url}|flowCollectorName={device_name}|flowCollectorIP={device_ip}|domain={domain_name}|exporterName={exporter_hostname}|exporterIPAddress={exporter_ip}|exporterInfo={exporter_label}|targetUser={target_username}|targetHostname={target_hostname}|sourceUser={source_username}|alarmStatus={alarm_status}|alarmSev={alarm_severity_name}

  6. Seleccione el formato personalizado de la lista y Aceptar.

  7. Seleccione Reglas de administración de respuestas>.

  8. Seleccione Agregar y hospedar alarma.

  9. Escriba un nombre de regla en el campo Name.

  10. Cree reglas seleccionando valores en los menús Tipo y Opciones . Para agregar más reglas, seleccione el icono de puntos suspensivos. Para una alarma de host, combine tantos tipos posibles en una instrucción como sea posible.

Este conector de datos se desarrolló con Cisco Stealthwatch versión 7.3.2

Cisco Unified Computing Systems (UCS)

Siga estas instrucciones para configurar Cisco UCS para reenviar Syslog. Use la dirección IP o el nombre de host para el dispositivo Linux con el agente de Linux instalado como dirección IP de destino.

Nota:

La funcionalidad de este conector de datos depende de un analizador basado en funciones de Kusto, que es integral a su funcionamiento. Este analizador se implementa como parte de la instalación de la solución.

Actualice el analizador y especifique el nombre de host de las máquinas de origen que transmiten los registros en la primera línea del analizador.

Para acceder al código de función dentro de Log Analytics, vaya a la sección Registros de Log Analytics/Microsoft Sentinel, seleccione Funciones y busque el alias CiscoUCS. Como alternativa, cargue directamente el código de función. La instalación posterior a la instalación puede tardar unos 15 minutos en actualizarse.

Cisco Web Security Appliance (WSA)

Configure Cisco para reenviar los registros a través de syslog al servidor remoto donde instale el agente. Siga estos pasos para configurar Cisco WSA para reenviar los registros a través de Syslog

Seleccione Inserción de Syslog como método de recuperación.

Este conector de datos se desarrolló con AsyncOS 14.0 para Cisco Web Security Appliance

Controlador de entrega de aplicaciones (ADC) de Citrix

Configure Citrix ADC (anterior NetScaler) para reenviar registros a través de Syslog.

  1. Vaya a la pestaña Configuración de la pestaña > Servidores syslog > de auditoría del > sistema>.
  2. Especifique el nombre de la acción de Syslog.
  3. Establezca la dirección IP del servidor y el puerto remotos de Syslog.
  4. Establezca Tipo de transporte como TCP o UDP en función de la configuración del servidor syslog remoto.
  5. Para más información, consulte la documentación de Citrix ADC (anterior NetScaler).

Nota:

La funcionalidad de este conector de datos depende de un analizador basado en funciones de Kusto, que es integral a su funcionamiento. Este analizador se implementa como parte de la instalación de la solución. Para acceder al código de función en Log Analytics, vaya a la sección Registros de Log Analytics/Microsoft Sentinel, seleccione Funciones y busque el alias CitrixADCEvent. Como alternativa, puede cargar directamente el código de función. La instalación posterior a la instalación puede tardar unos 15 minutos en actualizarse.

Este analizador requiere una lista de reproducción denominada Sources_by_SourceType.

i. Si aún no tiene una lista de reproducción creada, cree una lista de reproducción desde Microsoft Sentinel en Azure Portal.

ii. Abra la lista de reproducción Sources_by_SourceType y agregue entradas para este origen de datos.

ii. El valor SourceType de CitrixADC es CitrixADC. Para obtener más información, consulte Administración de analizadores del modelo de información de seguridad avanzada (ASIM).

Digital Guardian Data Loss Prevention

Complete los pasos siguientes para configurar Digital Guardian para reenviar los registros a través de Syslog:

  1. Inicie sesión en digital Guardian Management Console.
  2. Seleccione Workspace>Data Export>Create Export.
  3. En la lista Data Sources, seleccione Alerts o Events como origen de datos.
  4. En la lista Export type, seleccione Syslog.
  5. En la lista Tipo, seleccione UDP o TCP como protocolo de transporte.
  6. En el campo Servidor , escriba la dirección IP del servidor syslog remoto.
  7. En el campo Puerto , escriba 514 (u otro puerto si el servidor syslog se configuró para usar el puerto no predeterminado).
  8. En la lista Severity Level, seleccione un nivel de gravedad.
  9. Seleccione la casilla Is Active.
  10. Seleccione Siguiente.
  11. En la lista de campos disponibles, agregue los campos Alert o Event para la exportación de datos.
  12. Seleccione un criterio para los campos de la exportación de datos y Siguiente.
  13. Seleccione un grupo para los criterios y Siguiente.
  14. Seleccione Test Query ( Consulta de prueba).
  15. Seleccione Siguiente.
  16. Guarde los datos exportados.

Integración de ESET Protect

Configure ESET PROTECT para enviar todos los eventos a través de Syslog.

  1. Siga estas instrucciones para configurar la salida de Syslog. Asegúrese de seleccionar BSD como formato y TCP como transporte.
  2. Siga estas instrucciones para exportar todos los registros a Syslog. Seleccione JSON como formato de salida.

Exabeam Advanced Analytics

Siga estas instrucciones para enviar datos del registro de actividad de Análisis avanzado de Exabeam a través de Syslog.

Este conector de datos se desarrolló con Exabeam Advanced Analytics i54 (Syslog)

Forescout

Complete los pasos siguientes para obtener los registros de Forescout en Microsoft Sentinel.

  1. Seleccione un dispositivo para configurar
  2. Siga estas instrucciones para reenviar alertas de la plataforma Forescout a un servidor Syslog.
  3. Configure las opciones de la pestaña Desencadenadores de Syslog.

Este conector de datos se desarrolló mediante la versión del complemento Syslog de Forescout: v3.6

Gitlab

Siga estas instrucciones para enviar datos de registro de auditoría de Gitlab a través de syslog.

ISC Bind

  1. Siga estas instrucciones para configurar el enlace ISC para reenviar registros de syslog: DNS.
  2. Configure syslog para enviar el tráfico de syslog al agente. Use la dirección IP o el nombre de host para el dispositivo Linux con el agente de Linux instalado como dirección IP de destino.

Sistema operativo de identidad de red de Infoblox (NIOS)

Siga estas instrucciones para habilitar el reenvío de Syslog de los registros de Infoblox NIOS. Use la dirección IP o el nombre de host para el dispositivo Linux con el agente de Linux instalado como dirección IP de destino.

Nota:

La funcionalidad de este conector de datos depende de un analizador basado en funciones de Kusto, que es integral a su funcionamiento. Este analizador se implementa como parte de la instalación de la solución.

Para acceder al código de función en Log Analytics, vaya a la sección Registros de Log Analytics/Microsoft Sentinel, seleccione Funciones y busque el alias Infoblox. Como alternativa, puede cargar directamente el código de función. La instalación posterior a la instalación puede tardar unos 15 minutos en actualizarse.

Este analizador requiere una lista de reproducción denominada Sources_by_SourceType.

i. Si aún no tiene una lista de reproducción creada, cree una lista de reproducción desde Microsoft Sentinel en Azure Portal.

ii. Abra la lista de reproducción Sources_by_SourceType y agregue entradas para este origen de datos.

ii. El valor SourceType de InfobloxNIOS es InfobloxNIOS.

Para obtener más información, consulte Administración de analizadores del modelo de información de seguridad avanzada (ASIM).

Ivanti Unified Endpoint Management

Siga las instrucciones para configurar acciones de alerta que reenvíen registros al servidor de Syslog.

Este conector de datos se desarrolló con Ivanti Unified Endpoint Management Release 2021.1, versión 11.0.3.374

Juniper SRX

  1. Complete las instrucciones siguientes para configurar Juniper SRX para reenviar syslog:

  2. Use la dirección IP o el nombre de host para el dispositivo Linux con el agente de Linux instalado como dirección IP de destino.

McAfee Network Security Platform

Complete los pasos de configuración siguientes para obtener los registros de McAfee® Network Security Platform en Microsoft Sentinel.

  1. Reenvíe las alertas del administrador a un servidor de syslog.

  2. Debe agregar un perfil de notificación de syslog. Al crear el perfil, para asegurarse de que los eventos tienen el formato correcto, escriba el texto siguiente en el cuadro de texto Mensaje:

    <SyslogAlertForwarderNSP>:|SENSOR_ALERT_UUID|ALERT_TYPE|ATTACK_TIME|ATTACK_NAME|ATTACK_ID |ATTACK_SEVERITY|ATTACK_SIGNATURE|ATTACK_CONFIDENCE|ADMIN_DOMAIN|SENSOR_NAME|INTERFACE |SOURCE_IP|SOURCE_PORT|DESTINATION_IP|DESTINATION_PORT|CATEGORY|SUB_CATEGORY |DIRECTION|RESULT_STATUS|DETECTION_MECHANISM|APPLICATION_PROTOCOL|NETWORK_PROTOCOL|

Este conector de datos se desarrolló mediante la versión de McAfee® Network Security Platform: 10.1.x.

McAfee ePolicy Orchestrator

Póngase en contacto con el proveedor para obtener instrucciones sobre cómo registrar un servidor syslog.

Microsoft Sysmon For Linux

Este conector de datos depende de un analizador ASIM basado en una función de Kusto para funcionar según lo previsto. Implemente los analizadores.

Se implementan las siguientes funciones:

  • vimFileEventLinuxSysmonFileCreated, vimFileEventLinuxSysmonFileDeleted
  • vimProcessCreateLinuxSysmon, vimProcessTerminateLinuxSysmon
  • vimNetworkSessionLinuxSysmon

Más información

Nasuni

Siga las instrucciones de la Guía de la consola de administración de Nasuni a fin de configurar Nasuni Edge Appliance para reenviar eventos de syslog. Use la dirección IP o el nombre de host del dispositivo Linux que ejecuta el agente de Azure Monitor en el campo Configuración de servidores para los valores de syslog.

OpenVPN

Instale el agente en el servidor a donde se reenvía OpenVPN. Los registros del servidor OpenVPN se escriben en un archivo syslog común (en función de la distribución de Linux usada: por ejemplo, /var/log/messages).

Oracle Database Audit

Complete los siguientes pasos.

  1. Crea la base de datos de Oracle siguiendo estos pasos.
  2. Inicie sesión en la base de datos de Oracle que creó. Siga estos pasos.
  3. Habilita el registro unificado a través de syslog con la opción Modificar el sistema para habilitar el registro unificadosiguiendo estos pasos.
  4. Crea y habilita una directiva de auditoría para la auditoría unificadasiguiendo estos pasos.
  5. Habilita capturas de syslog y Visor de eventos para la pista de auditoría unificada siguiendo estos pasos.

Pulse Connect Secure

Siga las instrucciones para habilitar el streaming de Syslog de registros de Pulse Connect Secure. Use la dirección IP o el nombre de host para el dispositivo Linux con el agente de Linux instalado como dirección IP de destino.

Nota:

La funcionalidad de este conector de datos depende de un analizador basado en funciones de Kusto, que es integral a su funcionamiento. Este analizador se implementa como parte de la instalación de la solución.

Actualice el analizador y especifique el nombre de host de las máquinas de origen que transmiten los registros en la primera línea del analizador.

Para acceder al código de función en Log Analytics, vaya a la sección Registros de Log Analytics/Microsoft Sentinel, seleccione Funciones y busque el alias PulseConnectSecure. Como alternativa, cargue directamente el código de función. La instalación posterior a la instalación puede tardar unos 15 minutos en actualizarse.

RSA SecurID

Complete los pasos siguientes para obtener los registros de RSA® SecurID Authentication Manager en Microsoft Sentinel. Siga estas instrucciones para reenviar alertas del administrador a un servidor de Syslog.

Nota:

La funcionalidad de este conector de datos depende de un analizador basado en funciones de Kusto, que es integral a su funcionamiento. Este analizador se implementa como parte de la instalación de la solución.

Actualice el analizador y especifique el nombre de host de las máquinas de origen que transmiten los registros en la primera línea del analizador.

Para acceder al código de función en Log Analytics, vaya a la sección Registros de Log Analytics/Microsoft Sentinel, seleccione Funciones y busque el alias RSASecurIDAMEvent. Como alternativa, puede cargar directamente el código de función. La instalación posterior a la instalación puede tardar unos 15 minutos en actualizarse.

Este conector de datos se desarrolló mediante RSA SecurID Authentication Manager versión: 8.4 y 8.5

Sophos XG Firewall

Siga estas instrucciones para habilitar el streaming de Syslog. Use la dirección IP o el nombre de host para el dispositivo Linux con el agente de Linux instalado como dirección IP de destino.

Nota:

La funcionalidad de este conector de datos depende de un analizador basado en funciones de Kusto, que es integral a su funcionamiento. Este analizador se implementa como parte de la instalación de la solución.

Actualice el analizador y especifique el nombre de host de las máquinas de origen que transmiten los registros en la primera línea del analizador. Para acceder al código de función en Log Analytics, vaya a la sección Registros de Log Analytics/Microsoft Sentinel, seleccione Funciones y busque el alias SophosXGFirewall. Como alternativa, cargue directamente el código de función. La instalación posterior a la instalación puede tardar unos 15 minutos en actualizarse.

Symantec Endpoint Protection

Siga estas instrucciones para configurar Symantec Endpoint Protection para reenviar Syslog. Use la dirección IP o el nombre de host para el dispositivo Linux con el agente de Linux instalado como dirección IP de destino.

Nota:

La funcionalidad de este conector de datos depende de un analizador basado en funciones de Kusto, que es integral a su funcionamiento. Este analizador se implementa como parte de la instalación de la solución.

Actualice el analizador y especifique el nombre de host de las máquinas de origen que transmiten los registros en la primera línea del analizador. Para acceder al código de función en Log Analytics, vaya a la sección Registros de Log Analytics/Microsoft Sentinel, seleccione Funciones y busque el alias SymantecEndpointProtection. Como alternativa, puede cargar directamente el código de función. La instalación posterior a la instalación puede tardar unos 15 minutos en actualizarse.

Symantec ProxySG

  1. Inicie sesión en la consola de administración de Blue Coat.

  2. Seleccione Formatos de registro>de acceso de configuración.>

  3. Seleccione Nuevo.

  4. Escriba un nombre único en el campo Nombre de formato.

  5. Seleccione el botón de radio para Cadena de formato personalizado y pegue la siguiente cadena en el campo.

    1 $(date) $(time) $(time-taken) $(c-ip) $(cs-userdn) $(cs-auth-groups) $(x-exception-id) $(sc-filter-result) $(cs-categories) $(quot)$(cs(Referer))$(quot) $(sc-status) $(s-action) $(cs-method) $(quot)$(rs(Content-Type))$(quot) $(cs-uri-scheme) $(cs-host) $(cs-uri-port) $(cs-uri-path) $(cs-uri-query) $(cs-uri-extension) $(quot)$(cs(User-Agent))$(quot) $(s-ip) $(sr-bytes) $(rs-bytes) $(x-virus-id) $(x-bluecoat-application-name) $(x-bluecoat-application-operation) $(cs-uri-port) $(x-cs-client-ip-country) $(cs-threat-risk)

  6. Seleccione Aceptar.

  7. Seleccione Aplicarn.

  8. Siga estas instrucciones para habilitar el streaming de syslog de los registros de Access . Use la dirección IP o el nombre de host para el dispositivo Linux con el agente de Linux instalado como dirección IP de destino.

Nota:

La funcionalidad de este conector de datos depende de un analizador basado en funciones de Kusto, que es integral a su funcionamiento. Este analizador se implementa como parte de la instalación de la solución.

Actualice el analizador y especifique el nombre de host de las máquinas de origen que transmiten los registros en la primera línea del analizador.

Para acceder al código de función en Log Analytics, vaya a la sección Registros de Log Analytics/Microsoft Sentinel, seleccione Funciones y busque el alias SymantecProxySG. Como alternativa, cargue directamente el código de función. La instalación posterior a la instalación puede tardar unos 15 minutos en actualizarse.

Symantec VIP

Siga estas instrucciones para configurar Symantec VIP Enterprise Gateway para reenviar Syslog. Use la dirección IP o el nombre de host para el dispositivo Linux con el agente de Linux instalado como dirección IP de destino.

Nota:

La funcionalidad de este conector de datos depende de un analizador basado en funciones de Kusto, que es integral a su funcionamiento. Este analizador se implementa como parte de la instalación de la solución.

Actualice el analizador y especifique el nombre de host de las máquinas de origen que transmiten los registros en la primera línea del analizador.

Para acceder al código de función en Log Analytics, vaya a la sección Registros de Log Analytics/Microsoft Sentinel, seleccione Funciones y busque el alias SymantecVIP. Como alternativa, cargue directamente el código de función. La instalación posterior a la instalación puede tardar unos 15 minutos en actualizarse.

VMware ESXi

  1. Siga estas instrucciones para configurar VMware ESXi para reenviar Syslog:

  2. Use la dirección IP o el nombre de host para el dispositivo Linux con el agente de Linux instalado como dirección IP de destino.

Nota:

La funcionalidad de este conector de datos depende de un analizador basado en funciones de Kusto, que es integral a su funcionamiento. Este analizador se implementa como parte de la instalación de la solución.

Actualice el analizador y especifique el nombre de host de las máquinas de origen que transmiten los registros en la primera línea del analizador.

Para acceder al código de función en Log Analytics, vaya a la sección Registros de Log Analytics/Microsoft Sentinel, seleccione Funciones y busque el alias VMwareESXi. Como alternativa, cargue directamente el código de función. La instalación posterior a la instalación puede tardar unos 15 minutos en actualizarse.

WatchGuard Firebox

Siga estas instrucciones para enviar los datos de registro de WatchGuard Firebox a través de syslog.