次の方法で共有


AMA データ コネクタ経由の CEF - Microsoft Sentinel データ インジェスト用に特定のアプライアンスまたはデバイスを構成する

多くのセキュリティ アプライアンスとデバイスからのログ収集は、Microsoft Sentinel の AMA データ コネクタを介して Common Event Format (CEF) によってサポートされています。 この記事では、このデータ コネクタを使用する特定のセキュリティ アプライアンスとデバイスについて、プロバイダーが提供するインストール手順を示します。 更新プログラム、詳細情報、またはセキュリティ アプライアンスまたはデバイスの情報が利用できない場合は、プロバイダーにお問い合わせください。

Microsoft Sentinel の Log Analytics ワークスペースにデータを取り込むには、「Azure Monitor エージェントを使用して Microsoft Sentinel に syslog メッセージと CEF メッセージを するの手順を完了します。 これらの手順には、Microsoft Sentinel の AMA データ コネクタを介した Common イベント形式 (CEF) のインストールが含まれます。 コネクタがインストールされたら、この記事で後述するデバイスに適した手順を使用して、セットアップを完了します。

これらの各アプライアンスまたはデバイスの関連する Microsoft Sentinel ソリューションの詳細については、 Azure MarketplaceProduct Type>Solution Templates を検索するか Microsoft Sentinel の Content Hub からソリューションを確認してください。

重要

Microsoft Sentinel は、Microsoft Defender ポータルの Microsoft の統合セキュリティ オペレーション プラットフォーム内で一般提供されています。 プレビューでは、Microsoft Defender XDR または E5 ライセンスなしで Microsoft Sentinel を Defender ポータルで利用できます。 詳しくは、「Microsoft Defender ポータルの Microsoft Sentinel」を参照してください。

AI Analyst Darktrace

Syslog エージェントを使用して CEF 形式の Syslog メッセージを Azure ワークスペースに転送するように Darktrace を構成します。

  1. Darktrace Threat Visualizer 内で、メイン メニューの [管理] の下にある [システム構成] ページに移動します。
  2. 左側のメニューから Modules を選択し、使用可能な Workflow Integrations から Microsoft Sentinel を選択します。
  3. Microsoft Sentinel syslog CEF を見つけて New を選択すると、既に公開されていない限り、構成設定が表示されます。
  4. [サーバー構成] フィールドにログ フォワーダーの場所を入力し、必要に応じて通信ポートを変更します。 選択したポートが 514 に設定され、中間ファイアウォールによって許可されていることを確認します。
  5. 必要に応じて、アラートのしきい値、時間オフセット、またはその他の設定を構成します。
  6. syslog 構文の変更を有効にしたいその他の構成オプションを確認します。
  7. [アラートの送信] を有効にして、変更を保存します。

Akamai セキュリティ イベント

次の手順に従って プロキシ マシンに CEF 形式で syslog メッセージを送信するように Akamai CEF コネクタを構成します。 必ず、そのマシンの IP アドレスのポート 514 TCP にログを送信するようにしてください。

AristaAwakeSecurity

IP 192.168.0.1 で TCP ポート 514 でリッスンしている CEF コレクターに、Awake Adversarial Model の一致結果を転送するには、次の手順を完了

  1. [起動] UI の Detection Management Skills ページに移動します。
  2. + 新しいスキルの追加を選択します。
  3. Expressionintegrations.cef.tcp { destination: "192.168.0.1", port: 514, secure: false, severity: Warning }
  4. Title を、Microsoft Sentinel Forward Awake Adversarial Model の一致結果のようなわかりやすい名前に設定します
  5. 参照識別子を、integrations.cef.sentinel-forwarder など、簡単に検出できるものに設定します。
  6. [保存] を選択します。

定義やその他のフィールドを保存してから数分以内に、システムは検出されると、新しいモデルの一致結果を CEF イベント コレクターに送信し始めます。

詳細については、Awake UI の Help ドキュメントの「セキュリティ情報とイベント管理プッシュ統合の追加ページを参照してください。

Aruba ClearPass

Syslog エージェントを使用して CEF 形式の syslog メッセージを Microsoft Sentinel ワークスペースに転送するように Aruba ClearPass を構成します。

  1. こちらの指示に従って、Syslog を転送するように Aruba ClearPass を構成します。
  2. Destination IP アドレスとしてインストールされている Linux エージェントを使用して、Linux デバイスの IP アドレスまたはホスト名を使用します。

Barracuda WAF

Barracuda Web アプリケーション ファイアウォールは、Azure Monitoring Agent (AMA) を使用して、ログを Microsoft Sentinel と直接統合およびエクスポートできます。

  1. Barracuda WAF の構成に移動し、次のパラメーターを使用して接続を設定する手順に従います。

  2. Web ファイアウォール ログ機能: ワークスペースの詳細設定と Data>Syslog タブに移動します。 施設が存在することを確認します。

すべてのリージョンのデータが選択したワークスペースに格納されていることに注意してください。

Broadcom SymantecDLP

Syslog エージェントを使用して CEF 形式の Syslog メッセージを Microsoft Sentinel ワークスペースに転送するように Symantec DLP を構成します。

  1. これらの指示に従って、Syslog を転送するように Symantec DLP を構成します
  2. Destination IP アドレスとしてインストールされている Linux エージェントを使用して、Linux デバイスの IP アドレスまたはホスト名を使用します。

Cisco Firepower EStreamer

Firepower eNcore eStreamer クライアントをインストールして構成します。 詳細については、完全インストール guideを参照してください。

CiscoSEG

Syslog を介してログを転送するように Cisco Secure Email Gateway を設定するには、次の手順を実行します。

  1. Log サブスクリプションを構成します。
  2. [ログの種類イベント ログを選択します。

Citrix Web App Firewall

プロキシ マシンに CEF 形式で syslog メッセージを送信するように Citrix WAF を構成します。

  • Citrix サポートから WAF ログと CEF ログを構成するためのガイドを参照してください。

  • このガイド 従って ログをプロキシに転送します。 必ず、Linux マシンの IP アドレスのポート 514 TCP にログを送信するようにしてください。

Claroty

CEF を使用してログ転送を構成します。

  1. [構成] メニューの [Syslog] セクションに移動します。
  2. [+追加] を選択します。
  3. [新しい Syslog の追加] ダイアログでリモート サーバーの IPPortProtocol を指定します。
  4. メッセージ形式 - CEFを選択します。
  5. [保存] を選んで [Add Syslog] (Syslog の追加) ダイアログを終了します。

Contrast Protect

こちらの説明に従って、イベントを syslog に転送するように Contrast Protect エージェントを構成します: https://docs.contrastsecurity.com/en/output-to-syslog.html。 アプリケーションの攻撃イベントをいくつか生成します。

CrowdStrike Falcon

CrowdStrike Falcon SIEM コレクターをデプロイして、syslog エージェントを介して CEF 形式の syslog メッセージを Microsoft Sentinel ワークスペースに転送します。

  1. 次の手順に従ってSIEM コレクターをデプロイし syslog を転送します。
  2. Linux エージェントがインストールされている Linux デバイスの IP アドレスまたはホスト名を接続先 IP アドレスとして使用します。

CyberArk Enterprise Password Vault (EPV) Events

EPV で、CEF 形式の syslog メッセージをプロキシ マシンに送信するようにdbparm.iniを構成します。 必ず、そのマシンの IP アドレスのポート 514 TCP にログを送信します。

Delinea Secret Server

CEF 形式の syslog メッセージをプロキシ マシンに送信するようにセキュリティ ソリューションを設定します。 必ず、そのマシンの IP アドレスのポート 514 TCP にログを送信するようにしてください。

ExtraHop Reveal(x)

CEF 形式の syslog メッセージをプロキシ マシンに送信するようにセキュリティ ソリューションを設定します。 必ず、マシンの IP アドレスのポート 514 TCP にログを送信します。

  1. 指示に従って、ExtraHop Detection SIEM コネクタ バンドルを Reveal(x) システムにインストールします。 この統合には、 SIEM コネクタ が必要です。
  2. ExtraHop 検出 SIEM コネクタ - CEF のトリガーを有効にします。
  3. 作成した ODS syslog ターゲットでトリガーを更新します。 

Reveal(x) システムは、Common Event Format (CEF) で syslog メッセージを書式設定してから、Microsoft Sentinel にデータを送信します。

F5 Networks

SYSLOG エージェントを介して CEF 形式の Syslog メッセージを Microsoft Sentinel ワークスペースに転送するように F5 を構成します。

F5 のアプリケーション セキュリティ イベント ログの構成に関するページの手順に従い、次のガイドラインを使って、リモート ログを設定します。

  1. [Remote storage type](リモート ストレージの種類) を [CEF] に設定します。
  2. Protocol 設定UDP に設定します。
  3. IP アドレス syslog サーバーの IP アドレスを設定します。
  4. ポート番号514 に設定するか、エージェントが使用するポートを設定します。
  5. ファサード syslog エージェントで構成したインターフェイスに設定します。 既定では、エージェントはこの値を local4 に設定します。
  6. [Maximum Query String Size] (クエリ文字列の最大サイズ) は、構成したものと同じに設定できます。

FireEye ネットワーク セキュリティ

CEF を使ってデータを送信するには、次の手順のようにします。

  1. 管理者アカウントを使用して FireEye アプライアンスにサインインします。

  2. 設定を選択します。

  3. 通知を選択します。 rsyslog を選択します。

  4. Event の種類チェック ボックスをオンにします。

  5. Rsyslog が次のように設定されていることを確認します。

    • 既定の形式: CEF
    • 既定の配信: Per イベント
    • 既定の送信先: Alert

Forcepoint CASB

CEF 形式の syslog メッセージをプロキシ マシンに送信するようにセキュリティ ソリューションを設定します。 必ず、そのマシンの IP アドレスのポート 514 TCP にログを送信するようにしてください。

Forcepoint CSG

統合は、次の 2 つの実装オプションで使用できます。

  1. 統合コンポーネントが必要なすべての依存関係と共に既にインストールされている Docker イメージを使用します。 Integration Guide に記載されている手順に従います。
  2. クリーンな Linux マシン内に統合コンポーネントを手動でデプロイする必要があります。 Integration Guide に記載されている手順に従います。

Forcepoint NGFW

CEF 形式の syslog メッセージをプロキシ マシンに送信するようにセキュリティ ソリューションを設定します。 必ず、そのマシンの IP アドレスのポート 514 TCP にログを送信するようにしてください。

ForgeRock Common Audit for CEF

ForgeRock で、 https://github.com/javaservlets/SentinelAuditEventHandlerのドキュメントに従って、Microsoft Sentinel 用のこの Common Audit (CAUD) をインストールして構成します。 次に、Azure で手順に従って、AMA データ コネクタ経由で CEF を構成します。

Fortinet

Syslog メッセージを CEF 形式でプロキシ マシンに送信するように、Fortinet を設定します。 必ず、そのマシンの IP アドレスのポート 514 TCP にログを送信するようにしてください。

次の CLI コマンドをコピーして、以下のようにします。

  • "server <ip address>" を Syslog エージェントの IP アドレスに置き換えます。
  • "<facility_name>" を、Syslog エージェントで構成したファシリティを使うように設定します (既定では、エージェントはこれを local4 に設定します)。
  • Syslog ポートを、エージェントが使用するポート 514 に設定します。
  • FortiOS の初期のバージョンで CEF 形式を有効にするには、コマンド "set csv disable" を実行することが必要な場合があります。
    詳しくは、Fortinet のドキュメント ライブラリにアクセスし、お使いのバージョンを選んで、"Handbook" と "Log Message Reference" の PDF をご覧ください。

詳細情報 >

CLI を使用して接続を設定し、次のコマンドを実行します。 config log syslogd setting/n set status enable/nset format cef/nset port 514/nset server <ip_address_of_Receiver>/nend

iboss

Threat Console を設定して、CEF 形式で Syslog メッセージを Azure ワークスペースに送信します。 Log Analytics ワークスペース内の Workspace IDPrimary Key を書き留めます。 Azure portal の [Log Analytics ワークスペース] メニューからワークスペースを選択します。 次に、[設定] セクションで [エージェント管理] を選択します。

  1. iboss コンソール内の Reporting & Analytics に移動します。
  2. Log Forwarding>Forward From Reporter を選択します。
  3. Actions>サービスの追加を選択します。
  4. Service Type として Microsoft Sentinel に切り替えWorkspace ID/主キーを他の条件と共に入力します。 専用プロキシ Linux マシンが構成されている場合は、Service Type として Syslog に切り替え専用プロキシ Linux マシンを指すように設定を構成します。
  5. セットアップが完了するまで 1 ~ 2 分待ちます。
  6. Microsoft Sentinel サービスを選択し、Microsoft Sentinel のセットアップ状態が成功したことを確認します。 専用プロキシ Linux マシンが構成されている場合は、接続を検証できます。

Illumio Core

イベント形式を構成します。

  1. PCE Web コンソール メニューから、[Settings] (設定) > [Event Settings] (イベントの設定) を選んで、現在の設定を表示します。
  2. 編集を選択して設定を変更します。
  3. [Event Format] (イベントの形式) を CEF に設定します。
  4. (省略可能) [Event Severity] (イベントの重大度)[Retention Period] (保持期間) を構成します。

外部 syslog サーバーへのイベント転送を構成します。

  1. PCE Web コンソール メニューから、 Settings>Event Settings を選択します。
  2. [追加] を選択します。
  3. リポジトリの追加を選択します。
  4. [Add Repository] (リポジトリの追加) ダイアログに入力します。
  5. OK を選択して、イベント転送構成を保存します。

Illusive Platform

  1. CEF 形式の syslog メッセージをプロキシ マシンに送信するようにセキュリティ ソリューションを設定します。 必ず、そのマシンの IP アドレスのポート 514 TCP にログを送信するようにしてください。

  2. Illusive コンソールにサインインし、 Settings>Reporting に移動します。

  3. Syslog サーバーを検索します。

  4. 次の情報を指定します。

    • ホスト名: Linux Syslog エージェントの IP アドレスまたは FQDN ホスト名
    • ポート: 514
    • プロトコル: TCP
    • 監査メッセージ: サーバーへの監査メッセージの送信
  5. syslog サーバーを追加するには、 Add を選択します。

Illusive プラットフォームで新しい syslog サーバーを追加する方法の詳細については、以下の Illusive Networks 管理者ガイドを参照してください。 https://support.illusivenetworks.com/hc/en-us/sections/360002292119-Documentation-by-Version

Imperva WAF Gateway

このコネクタでは、 Action InterfaceAction Set を Imperva SecureSphere MX に作成する必要があります。 要件を作成するには の手順に従います。

  1. WAF アラートを Microsoft Sentinel に送信するために必要なパラメーターを含む新しい Action Interface を作成します。
  2. 構成された Action インターフェイス使用する新しい Action Set を作成します。
  3. アラートを Microsoft Sentinel に送信するセキュリティ ポリシーにアクション セットを適用します。

Infoblox Cloud Data Connector

Linux syslog エージェント経由で BloxOne データを Microsoft Sentinel に送信するように Infoblox CDC を構成するには、次の手順を実行します。

  1. Manage>Data Connector に移動します。
  2. 上部にある Destination Configuration タブを選択します。
  3. [Syslog >作成を選択します。
    • 名前: 新しい宛先にわかりやすい名前を付けます (例: Microsoft-Sentinel-Destination
    • 説明: 必要に応じて、わかりやすい説明を入力します。
    • 状態: 状態を [Enabled] (有効) に設定します。
    • 形式: 形式を [CEF] に設定します。
    • FQDN/IP: Linux エージェントがインストールされている Linux デバイスの IP アドレスを入力します。
    • ポート: ポート番号は 514 のままにします。
    • プロトコル: 該当する場合は、必要なプロトコルと CA 証明書を選択します。
    • 保存して閉じる を選択します。
  4. 上部にある Traffic Flow 構成 タブを選択します。
  5. [作成] を選択します
    • 名前: 新しい Traffic Flow にわかりやすい名前 ( Microsoft-Sentinel-Flow など) を付けます。
    • 説明: 必要に応じて、わかりやすい説明を入力します。
    • 状態: 状態を [Enabled] (有効) に設定します。
    • [サービス インスタンス] セクションを展開します。
      • サービス インスタンス: Data Connector サービスが有効になっている目的のサービス インスタンスを選択します。
    • [Source Configuration] (ソースの構成) セクションを展開します。
      • ソース: [BloxOne Cloud Source] (BloxOne クラウド ソース) を選択します。
      • 収集する目的のログの種類をすべて選択します。 現在サポートされているログの種類は次のとおりです。
        • 脅威防御クエリおよび応答ログ
        • 脅威防御の脅威フィード ヒット ログ
        • DDI クエリおよび応答ログ
        • DDI DHCP リース ログ
    • [Destination Configuration] (宛先の構成) セクションを展開します。
      • 作成した Destination を選択します。
    • 保存して閉じる を選択します。
  6. 構成がアクティブになるまでしばらくかかります。

Infoblox SOC Insights

Linux syslog エージェント経由で BloxOne データを Microsoft Sentinel に送信するように Infoblox CDC を構成するには、次の手順を実行します。

  1. [管理] > [データ コネクタ] に移動します。
  2. 上部にある Destination Configuration タブを選択します。
  3. [Syslog >作成を選択します。
    • 名前: 新しい宛先にわかりやすい名前を付けます (例: Microsoft-Sentinel-Destination
    • 説明: 必要に応じて、わかりやすい説明を入力します。
    • 状態: 状態を [Enabled] (有効) に設定します。
    • 形式: 形式を [CEF] に設定します。
    • FQDN/IP: Linux エージェントがインストールされている Linux デバイスの IP アドレスを入力します。
    • ポート: ポート番号は 514 のままにします。
    • プロトコル: 該当する場合は、必要なプロトコルと CA 証明書を選択します。
    • 保存して閉じる を選択します。
  4. 上部にある Traffic Flow 構成 タブを選択します。
  5. [作成] を選択します
    • 名前: 新しい Traffic Flow にわかりやすい名前 ( Microsoft-Sentinel-Flow など) を付けます。
    • 説明: 必要に応じて、わかりやすい説明を指定します。
    • 状態: 状態を [Enabled] (有効) に設定します。
    • [サービス インスタンス] セクションを展開します。
      • サービス インスタンス: データ コネクタ サービスが有効になっている目的のサービス インスタンスを選択します。
    • [Source Configuration] (ソースの構成) セクションを展開します。
      • ソース: [BloxOne Cloud Source] (BloxOne クラウド ソース) を選択します。
      • [ 通知 ログの種類] を選択します。
    • [Destination Configuration] (宛先の構成) セクションを展開します。
      • 作成した Destination を選択します。
    • 保存して閉じる を選択します。
  6. 構成がアクティブになるまでしばらくかかります。

カスペルスキーセキュリティセンター

手順に従って、Kaspersky Security Center からのイベント エクスポートを構成します。

Morphisec

CEF 形式の syslog メッセージをプロキシ マシンに送信するようにセキュリティ ソリューションを設定します。 必ず、そのマシンの IP アドレスのポート 514 TCP にログを送信するようにしてください。

Netwrix 監査人

手順に従って、Netwrix Auditor からのイベント エクスポートを構成します。

のぞみNetworks

次の手順を実行して、Cef 形式の syslog を介してアラート、監査、および正常性ログを送信するように、のぞみネットワーク デバイスを構成します。

  1. ガーディアン コンソールにサインインします。
  2. Administration>Data Integration に移動します。
  3. [+追加] を選択します。
  4. ドロップダウンから Common イベント形式 (CEF) を選択します。
  5. 適切なホスト情報 使用して 新しいエンドポイントを作成します。
  6. 送信のために AlertsAudit Logs、および Health Logs を有効にします。

Onapsis Platform

Syslog エージェントへのログ転送を設定するには、Onapsis 製品内ヘルプを参照してください。

  1. Setup>Third-party integrations>Defend Alarms に移動し Microsoft Sentinel の指示に従います。

  2. Onapsis コンソールが、エージェントがインストールされているプロキシ コンピューターに到達できることを確認します。 ログは TCP を使用してポート 514 に送信する必要があります。

OSSEC

Syslog を介してアラートを送信する OSSEC を構成するには、これらの手順に従います

Palo Alto - XDR (Cortex)

Syslog エージェントを使用して CEF 形式のメッセージを Microsoft Sentinel ワークスペースに転送するように Palo Alto XDR (Cortex) を構成します。

  1. Co設定と構成に移動します。
  2. External アプリケーションの下新しいサーバーを追加する場合に選択します。
  3. 次に、名前を指定し、syslog サーバーのパブリック IP を Destinationで指定します。
  4. ポート番号 514 を指定します。
  5. [ファサード フィールド ドロップダウンから FAC_SYSLOG を選択します。
  6. UDP として Protocol を選択します。
  7. [作成] を選択します

PaloAlto-PAN-OS

Syslog エージェントを使用して CEF 形式の syslog メッセージを Microsoft Sentinel ワークスペースに転送するように Palo Alto Networks を構成します。

  1. CEF イベントを送信するために Palo Alto Networks NGFW を構成する方法に関する記事を参照してください。

  2. Palo Alto CEF の構成に関する記事と Palo Alto の Syslog 監視の構成に関する記事の手順 2、3 を参照し、お使いのバージョンを選び、次のガイドラインを使って指示に従います。

    1. Syslog サーバー形式BSD に設定します。
    2. テキストをエディターにコピーし、ログ形式を壊す可能性がある文字を削除してから貼り付けます。 PDF からのコピー/貼り付け操作では、テキストが変更され、ランダムな文字が挿入される可能性があります。

詳細情報

PaloAltoCDL

手順に従って Cortex Data Lake から syslog サーバーへのログ転送を構成します。

PingFederate

syslog を介して CEF 形式の監査ログを送信する PingFederate を構成するには、こちらの手順に従います

RidgeSecurity

このの説明に従って、Syslog サーバーにイベントを転送するように RidgeBot 構成します。 アプリケーションの攻撃イベントをいくつか生成します。

SonicWall ファイアウォール

プロキシ マシンに CEF 形式で syslog メッセージを送信するように SonicWall Firewall を設定します。 必ず、そのマシンの IP アドレスのポート 514 TCP にログを送信するようにしてください。

指示に従います。 次に、施設として [ローカル使用 4] を選択します。 次に、Syslog 形式として ArcSight を選択します。

Trend Micro Apex One

Syslog を介してアラートを送信する Apex Central を構成するには、こちらの手順に従います。 構成時には、手順 6 でログ形式として CEF を選びます。

Trend Micro Deep Security

CEF 形式の syslog メッセージをプロキシ マシンに送信するようにセキュリティ ソリューションを設定します。 必ず、マシンの IP アドレスのポート 514 TCP にログを送信します。

  1. Trend Micro Deep Security イベントを syslog エージェントに転送します。
  2. このナレッジ 記事を参照して、CEF 形式を使用する新しい syslog 構成定義します。
  3. この新しい構成を使用して syslog エージェントにイベントを転送するにはDeep Security Manager 構成します
  4. TrendMicroDeepSecurity 関数を保存して、Trend Micro Deep Security データのクエリを正しく実行するようにします。

Trend Micro TippingPoint

プロキシ マシンに ArcSight CEF 形式 v4.2 形式の syslog メッセージを送信するように TippingPoint SMS を設定します。 必ず、そのマシンの IP アドレスのポート 514 TCP にログを送信するようにしてください。

vArmour Application Controller

プロキシ マシンに CEF 形式で syslog メッセージを送信します。 必ず、そのマシンの IP アドレスのポート 514 TCP にログを送信するようにしてください。

https://support.varmour.com/hc/en-us/articles/360057444831-vArmour-Application-Controller-6-0-User-Guide からユーザー ガイドをダウンロードします。 ユーザー ガイドで、「監視と違反に対する Syslog の構成」を参照し、手順 1 から 3 に従います。

Vectra AI Detect

Syslog エージェントを介して CEF 形式の Syslog メッセージを Microsoft Sentinel ワークスペースに転送するように Vectra (X シリーズ) エージェントを構成します。

Vectra UI から、[設定] > [通知] に移動し、syslog 構成を編集します。 以下の手順に従って、接続を設定します。

  1. 新しい宛先 (Microsoft Sentinel syslog エージェントが実行されているホスト) を追加します。
  2. Port514 に設定します。
  3. ProtocolUDP に設定します。
  4. formatCEF に設定します。
  5. Log の種類を設定します。 使用可能なすべてのログの種類を選択します。
  6. [保存] を選択します。
  7. Test ボタンを選択して、いくつかのテスト イベントを送信します。

詳細については、Detect UI のリソース ページからダウンロードできる Cognito Detect Syslog ガイドをご覧ください。

Votiro

Votiro エンドポイントを設定して、CEF 形式の syslog メッセージをフォワーダー マシンに送信します。 フォワーダー マシンの IP アドレスのポート 514 TCP にログを送信してください。

WireX Network Forensics Platform

プロキシ マシンに CEF 形式で syslog メッセージを送信するように NFP ソリューションを構成するには、WireX サポート (https://wirexsystems.com/contact-us/) にお問い合わせください。 中央マネージャーがマシンの IP アドレスのポート 514 TCP にログを送信できることを確認します。

コネクタを介した WithSecure Elements

WithSecure Elements Connector アプライアンスを Microsoft Sentinel に接続します。 WithSecure Elements Connector データ コネクタを使用すると、WithSecure Elements ログを Microsoft Sentinel に簡単に接続して、ダッシュボードの表示、カスタム アラートの作成、調査の改善を行うことができます。

Note

データは、Microsoft Sentinel を実行しているワークスペースの地理的な場所に格納されます。

Syslog エージェントを介して CEF 形式の Syslog メッセージを Log Analytics ワークスペースに転送するように、Secure Elements Connector を使用して構成します。

  1. WithSecurity ソリューションと Microsoft Sentinel の間のプロキシとして使用する Microsoft Sentinel 用の Linux マシンを選択または作成します。 マシンには、オンプレミス環境、Microsoft Azure、またはその他のクラウドベースの環境を使用できます。 Linux に syslog-ngpython/python3 がインストールされている必要があります。
  2. Linux マシンに Azure Monitoring Agent (AMA) をインストールし、必要なポートをリッスンして Microsoft Sentinel ワークスペースにメッセージを転送するようにマシンを構成します。 CEF コレクターにより、ポート 514 TCP で CEF メッセージが収集されます。 マシンに対する管理者特権のアクセス許可 (sudo) が必要です。
  3. WithSecure Elements ポータルで EPP に移動します。 次に、 Downloads に移動します。 Elements Connector セクションで、サブスクリプション キーの作成選択。 サブスクリプション キーは Subscriptions で確認できます。
  4. Downloads WithSecure Elements Connector セクションで、適切なインストーラーを選択してダウンロードします。
  5. EPP の場合は、右上隅からアカウント設定を開きます。 次に、 Get 管理 API キーを選択します。 キーが以前に作成された場合は、そこでも読み取ることができます。
  6. Elements Connector をインストールするには、 Elements Connector Docs に従います。
  7. インストール中に API アクセスが構成されていない場合は、 Elements Connector の API アクセスの構成に従います
  8. EPP に移動し、 Profiles、コネクタ プロファイルを確認できる For Connector を使用します。 新しいプロファイルを作成します (または、読み取り専用ではない既存のプロファイルを編集します)。 Event 転送で有効にします。 SIEM システム アドレスの設定: 127.0.0.1:514。 形式を [Common Event Format] に設定します。 プロトコルは [TCP] です。 プロファイルを保存し、 Elements Connector Devices タブに割り当てます。
  9. WithSecure Elements Connector の Log Analytics で関連するスキーマを使用するには、 CommonSecurityLog を検索します。
  10. CEF 接続の 検証に進みます

Zscaler

SYSLOG エージェントに CEF 形式で syslog メッセージを送信するように Zscaler 製品を設定します。 必ずポート 514 TCP でログを送信します。

詳細については、 Zscaler Microsoft Sentinel 統合ガイドを参照してください。