次の方法で共有

[非推奨]Microsoft Sentinel 用 Zscaler Private Access コネクタ

  • [アーティクル]

重要

多くのアプライアンスおよびデバイスからのログ収集が、AMA 経由の Common Event Format (CEF)、AMA 経由の Syslog、または Microsoft Sentinel の AMA データ コネクタ経由のカスタム ログでサポートされるようになりました。 詳細については、「Microsoft Sentinel データ コネクタを見つける」を参照してください。

Zscaler Private Access (ZPA) データ コネクタは、Zscaler Private Access イベントを Microsoft Sentinel に取り込む機能を提供します。 詳細については、Zscaler Private Access のドキュメントを参照してください。

これは自動生成されたコンテンツです。 変更については、ソリューション プロバイダーにお問い合わせください。

コネクタの属性

コネクタ属性 説明
Kusto 関数エイリアス ZPAEvent
Kusto 関数 URL https://aka.ms/sentinel-ZscalerPrivateAccess-parser
Log Analytics テーブル ZPA_CL
データ収集ルールのサポート 現在、サポートされていません
サポートしているもの Microsoft Corporation

クエリのサンプル

すべてのログ


ZPAEvent

| sort by TimeGenerated

ベンダーのインストール手順

注意

このデータ コネクタは、Kusto 関数に基づくパーサーに依存して正常に動作します。 Kusto 関数のエイリアス ZPAEvent を作成するには、こちらの手順に従ってください

注意

このデータ コネクタは、Zscaler Private Access バージョン: 21.67.1 を使用して開発されました

  1. Linux または Windows 用エージェントをインストールおよびオンボードする

Zscaler Private Access ログが転送されるサーバーにエージェントをインストールします。

Linux または Windows サーバー上にデプロイされた Zscaler Private Access Server からのログは、Linux または Windows エージェントによって収集されます。

  1. 収集するログを構成する

次の構成手順に従って、Zscaler Private Access のログを Microsoft Sentinel に取り込みます。 以下に示す手順の詳細については、Azure Monitor のドキュメントをご覧ください。 Zscaler Private Access のログは、ログ ストリーミング サービス (LSS) を介して配信されます。 詳細については、LSS のドキュメントをご覧ください

  1. ログ レシーバーを構成します。 ログ レシーバーの構成中に、 [ログ テンプレート] として [JSON] を選択します。

  2. 構成ファイル zpa.conf をダウンロードします。wget -v https://aka.ms/sentinel-zscalerprivateaccess-conf -O zpa.conf

  3. Azure Log Analytics エージェントをインストールしたサーバーにログインします。

  4. zpa.conf を /etc/opt/microsoft/omsagent/workspace_id/conf/omsagent.d/ フォルダーにコピーします。

  5. 次のように zpa.conf を編集します。

    a. ログを転送するように Zscaler Log Receivers を設定したポートを指定します (4 行目)

    b. zpa.conf では、既定でポート 22033 が使用されます。 このポートがサーバー上の他のソースで使用されていないことを確認します

    c. zpa.conf の既定のポートを変更する場合は、既定の AMA エージェント ポートと競合しないようにしてください (たとえば、CEF は TCP ポート 25226 または 25224 を使用します)。

    d. workspace_id を実際のワークスペース ID の値に置き換えます (14、15、16、19 行目)

  6. 変更を保存し、次のコマンドを使用して Linux サービス用 Azure Log Analytics エージェントを再起動します: sudo /opt/microsoft/omsagent/bin/service_control restart

次の手順

詳細については、Azure Marketplace の関連ソリューションに関するページを参照してください。