次の方法で共有


Microsoft Sentinel 用 Elastic Agent (スタンドアロン) コネクタ

Elastic Agent データ コネクタは、Elastic Agent のログ、メトリック、およびセキュリティ データを Microsoft Sentinel に取り込む機能を提供します。

これは自動生成されたコンテンツです。 変更については、ソリューション プロバイダーにお問い合わせください。

コネクタの属性

コネクタ属性 説明
Log Analytics テーブル ElasticAgentLogs_CL
データ収集ルールのサポート 現在、サポートされていません
サポートしているもの Microsoft Corporation

クエリのサンプル

上位 10 デバイス

ElasticAgentEvent

| summarize count() by DvcIpAddr

| top 10 by count_

前提条件

Elastic Agent (スタンドアロン) と統合するには、次があることを確認します。

  • 接続にカスタム前提条件が必要な場合に含める - それ以外の場合はカスタムを削除する: カスタム前提条件がある場合の説明

ベンダーのインストール手順

注意

このデータ コネクタの期待どおりの動作は、Kusto 関数に基づくパーサー (Microsoft Sentinel ソリューションと共にデプロイされている ElasticAgentEvent) に依存しています。

注意

このデータ コネクタは、Elastic Agent 7.14 を使用して開発されています。

  1. Linux または Windows 用エージェントをインストールおよびオンボードする

エージェントを、Elastic Agent のログが転送されるサーバーにインストールします。

Linux または Windows サーバーにデプロイされた Elastic Agent からのログは、Linux または Windows エージェントによって収集されます。

  1. Elastic Agent の構成 (スタンドアロン)

手順に従い、Elastic Agent を Logstash に出力するよう構成します

  1. Logstash を Microsoft Logstash 出力プラグインを使用するように構成する

Logstash を、microsoft-logstash-output-azure-loganalytics プラグインを使用するように構成する手順に従います。

3.1) プラグインが既にインストール済みかどうかを確認します

./logstash-plugin list | grep 'azure-loganalytics' (プラグインがインストール済みの場合は手順 3.3 に進みます)

3.2) プラグインをインストールします。

./logstash-plugin install microsoft-logstash-output-azure-loganalytics

3.3) プラグインを使用するように Logstash を構成します

  1. ログの取り込みを検証します

手順に従って接続を検証します。

Log Analytics を開き、手順 3.3 で指定したカスタム テーブル (例: ElasticAgentLogs_CL) を使用してログが受信されているかどうかを確認します。

接続がデータをワークスペースにストリーミングするまで約 30 分かかる場合があります。

次の手順

詳細については、Azure Marketplace の関連ソリューションに関するページを参照してください。