次の方法で共有


AMA データ コネクタ経由の Syslog - Microsoft Sentinel データ インジェスト用に特定のアプライアンスまたはデバイスを構成する

多くのセキュリティ アプライアンスとデバイスからのログ収集は、Microsoft Sentinel の AMA データ コネクタを介して Syslog でサポートされています。 この記事では、このデータ コネクタを使用する特定のセキュリティ アプライアンスとデバイスに対して、プロバイダーが提供するインストール手順の一覧を示します。 更新プログラム、詳細情報、またはセキュリティ アプライアンスまたはデバイスの情報が利用できない場合は、プロバイダーにお問い合わせください。

Microsoft Sentinel の Log Analytics ワークスペースにデータを転送するには、「Azure Monitor エージェントを使用して、syslog メッセージと CEF メッセージを Microsoft Sentinel に する」の手順を完了。 これらの手順を完了したら、 Syslog を AMA データ コネクタ経由で Microsoft Sentinel にインストールします。 次に、この記事の適切なプロバイダーの手順を使用して、セットアップを完了します。

これらの各アプライアンスまたはデバイスの関連する Microsoft Sentinel ソリューションの詳細については、 Azure MarketplaceProduct Type>Solution Templates を検索するか Microsoft Sentinel の Content Hub からソリューションを確認してください。

Barracuda CloudGen Firewall

Syslog のストリーミングを構成するには、手順に従いますDestination IP アドレスに Microsoft Sentinel エージェントがインストールされている Linux マシンの IP アドレスまたはホスト名を使用します。

Blackberry CylancePROTECT

こちらの指示に従って、Syslog を転送するように CylancePROTECT を構成します。 Destination IP アドレスとしてインストールされている Linux エージェントを使用して、Linux デバイスの IP アドレスまたはホスト名を使用します。

Cisco アプリケーション中心インフラストラクチャ (ACI)

Syslog 経由でエージェントをインストールするリモート サーバにログを送信するように Cisco ACI システムを設定します。 次の手順に従ってSyslog 変換先Destination グループ、および Syslog ソースを構成します。

このデータ コネクタは、Cisco ACI リリース 1.x を使用して開発されました。

Cisco Identity Services Engine (ISE)

Cisco ISE のデプロイでリモート Syslog コレクションの場所を構成するには、こちらの手順に従ってください

Cisco Stealthwatch

Cisco Stealthwatch ログを Microsoft Sentinel に取り込むには、次の構成手順を実行します。

  1. 管理者として、Stealthwatch 管理コンソール (SMC) にサインインします。

  2. メニュー バーで、 Configuration>Response Management を選択します。

  3. [Response Management] メニューの [Actions セクションで、[Syslog メッセージ>追加選択

  4. Syslog メッセージ アクションの追加 ウィンドウで、パラメーターを構成します。

  5. 次のカスタム形式を入力します。

    |Lancope|Stealthwatch|7.3|{alarm_type_id}|0x7C|src={source_ip}|dst={target_ip}|dstPort={port}|proto={protocol}|msg={alarm_type_description}|fullmessage={details}|start={start_active_time}|end={end_active_time}|cat={alarm_category_name}|alarmID={alarm_id}|sourceHG={source_host_group_names}|targetHG={target_host_group_names}|sourceHostSnapshot={source_url}|targetHostSnapshot={target_url}|flowCollectorName={device_name}|flowCollectorIP={device_ip}|domain={domain_name}|exporterName={exporter_hostname}|exporterIPAddress={exporter_ip}|exporterInfo={exporter_label}|targetUser={target_username}|targetHostname={target_hostname}|sourceUser={source_username}|alarmStatus={alarm_status}|alarmSev={alarm_severity_name}

  6. 一覧からカスタム形式を選択し、 OK

  7. Response Management > Rules を選択します。

  8. [追加] を選択し、[ホスト アラームを選択します。

  9. [名前] フィールドにルール名を入力します。

  10. Type および Options メニューから値を選択してルールを作成します。 ルールをさらに追加するには、省略記号アイコンを選択します。 Host Alarm の場合は、ステートメント内の可能な限り多くの型を組み合わせます。

このデータ コネクタは、Cisco Stealthwatch バージョン 7.3.2 を使用して開発されました

Cisco Unified Computing Systems (UCS)

こちらの指示に従って、Syslog を転送するように Cisco UCS を構成します。 Destination IP アドレスとしてインストールされている Linux エージェントを使用して、Linux デバイスの IP アドレスまたはホスト名を使用します。

Note

このデータ コネクタの機能は、操作に不可欠な Kusto 関数ベースのパーサーに依存しています。 このパーサーは、ソリューションのインストールの一部としてデプロイされます。

パーサーを更新し、パーサーの最初の行でログを送信するソース マシンのホスト名を指定します。

Log Analytics 内の関数コードにアクセスするには、[Log Analytics/Microsoft Sentinel ログ] セクションに移動し、[関数] を選択し、エイリアス CiscoUCSを検索します。 または、 関数コードを直接読み込みます。 更新には、インストール後約 15 分かかる場合があります。

Cisco Web Security Appliance (WSA)

Syslog を介してエージェントをインストールするリモート サーバにログを転送するように Cisco を設定します。 次の手順に従って Syslog 経由でログを転送するように Cisco WSA を設定します。

取得方法として Syslog Push を選択します。

このデータ コネクタは、Cisco Web セキュリティ アプライアンス用 AsyncOS 14.0 を使用して開発されました

Citrix アプリケーション デリバリー コントローラー (ADC)

Syslog を使用してログを転送するように Citrix ADC (旧 NetScaler) を構成します。

  1. [System > Auditing > Syslog > Servers] タブ> [Configuration]\(構成\) タブに移動します
  2. Syslog アクション名を指定します。
  3. リモート Syslog サーバーとポートの IP アドレスを設定します。
  4. リモート syslog サーバーの構成に応じて TCP または UDP Transport の種類を設定します。
  5. 詳細については、 Citrix ADC (旧 NetScaler) のドキュメントを参照してください。

Note

このデータ コネクタの機能は、操作に不可欠な Kusto 関数ベースのパーサーに依存しています。 このパーサーは、ソリューションのインストールの一部としてデプロイされます。 Log Analytics 内の関数コードにアクセスするには、[Log Analytics/Microsoft Sentinel ログ] セクションに移動し、[関数] を選択して、エイリアス CitrixADCEventを検索します。 または、 関数コードを直接読み込むことができます。 更新には、インストール後に約 15 分かかる場合があります。

このパーサーには、 Sources_by_SourceTypeという名前のウォッチリストが必要です。

i. ウォッチリストがまだ作成されていない場合は、 Azure ポータルで Microsoft Sentinel からウォッチリストを作成

ii. ウォッチリスト Sources_by_SourceType を開き、このデータ ソースのエントリを追加します。

ii. CitrixADC の SourceType 値は CitrixADC です。 詳細については、「 Manage Advanced Security Information Model (ASIM) パーサーを参照してください。

Digital Guardian のデータ損失防止

Syslog 経由でログを転送するように Digital Guardian を構成するには、次の手順を実行します。

  1. デジタル ガーディアン管理コンソールにサインインします。
  2. [ワークスペース]>[データ エクスポート]>[エクスポートの作成] の順に選択します。
  3. [データ ソース] リストから、データ ソースとして [アラート] または [イベント] を選択します。
  4. [エクスポートの種類] リストから、[Syslog] を選択します。
  5. Type の一覧からトランスポート プロトコルとして UDP または TCP を選択します。
  6. Server フィールドに、リモート syslog サーバーの IP アドレスを入力します。
  7. Port フィールドに「514」と入力します (Syslog サーバーが既定以外のポートを使用するように構成されている場合は、その他のポート)。
  8. [重大度レベル] リストから、重大度レベルを選択します。
  9. [アクティブ] チェック ボックスをオンにします。
  10. [次へ] を選択します。
  11. 使用可能なフィールドのリストから、データ エクスポート用の [アラート] または [イベント] フィールドを追加します。
  12. データエクスポートのフィールドの抽出条件を選択し、[次へ
  13. 条件のグループを選択し、[次へします。
  14. [クエリ テストを選択します。
  15. [次へ] を選択します。
  16. データ エクスポートを保存します。

ESET Protect の統合

すべてのイベントを Syslog 経由で送信するように、ESET PROTECT を構成します。

  1. Syslog の出力を構成するには、こちらの手順のようにします。 形式として BSD を選び、トランスポートとして TCP を選びます。
  2. こちらの手順のようにして、すべてのログを Syslog にエクスポートします。 出力形式として JSON を選びます。

Exabeam Advanced Analytics

Syslog 経由で Exabeam Advanced Analytics アクティビティ ログ データを送信するには、こちらの手順のようにします

このデータ コネクタは、Exabeam Advanced Analytics i54 (Syslog) を使用して開発されました

Forescout

次の手順を実行して、Forescout ログを Microsoft Sentinel に取り込みます。

  1. 構成するアプライアンスを選びます。
  2. Forescout プラットフォームから Syslog サーバーにアラートを転送するには、こちらの手順のようにします
  3. Syslog Triggers タブの設定を構成します。

このデータ コネクタは、Forescout Syslog プラグイン バージョン v3.6 を使用して開発されました

Gitlab

次の手順に従って Syslog 経由で Gitlab 監査ログ データを送信します。

ISC Bind

  1. syslog を転送するように ISC バインドを構成するには、次の手順に従います: DNS ログ
  2. syslog トラフィックをエージェントに送信するように syslog を構成します。 Destination IP アドレスとしてインストールされている Linux エージェントを使用して、Linux デバイスの IP アドレスまたはホスト名を使用します。

Infoblox ネットワーク ID オペレーティング システム (NIOS)

Infoblox NIOS ログの syslog 転送を有効にするには、これらの手順に従いますDestination IP アドレスとしてインストールされている Linux エージェントを使用して、Linux デバイスの IP アドレスまたはホスト名を使用します。

Note

このデータ コネクタの機能は、操作に不可欠な Kusto 関数ベースのパーサーに依存しています。 このパーサーは、ソリューションのインストールの一部としてデプロイされます。

Log Analytics 内の関数コードにアクセスするには、[Log Analytics/Microsoft Sentinel ログ] セクションに移動し、[Functions] を選択し、エイリアス Infoblox を検索します。 または、 関数コードを直接読み込むことができます。 更新には、インストール後に約 15 分かかる場合があります。

このパーサーには、 Sources_by_SourceTypeという名前のウォッチリストが必要です。

i. ウォッチリストがまだ作成されていない場合は、 Azure ポータルで Microsoft Sentinel からウォッチリストを作成

ii. ウォッチリスト Sources_by_SourceType を開き、このデータ ソースのエントリを追加します。

ii. InfobloxNIOS の SourceType 値が InfobloxNIOS

詳細については、「 Manage Advanced Security Information Model (ASIM) パーサーを参照してください。

Ivanti Unified Endpoint Management

指示に従って、Syslog サーバーにログを送信するようにアラート アクションを設定します。

このデータ コネクタは、Ivanti Unified Endpoint Management リリース 2021.1 バージョン 11.0.3.374 を使用して開発されました

Juniper SRX

  1. Syslog を転送するように Juniper SRX を構成するには、次の手順を完了します。

  2. Destination IP アドレスとしてインストールされている Linux エージェントを使用して、Linux デバイスの IP アドレスまたはホスト名を使用します。

McAfee Network Security Platform

McAfee® ネットワーク セキュリティ プラットフォームのログを Microsoft Sentinel に取り込むには、次の構成手順を実行します。

  1. マネージャーから syslog サーバーにアラートを転送します。

  2. syslog 通知プロファイルを追加する必要があります。 プロファイルの作成時に、イベントが正しく書式設定されていることを確認するには、[メッセージ] テキスト ボックスに次のテキストを入力します。

    <SyslogAlertForwarderNSP>:|SENSOR_ALERT_UUID|ALERT_TYPE|ATTACK_TIME|ATTACK_NAME|ATTACK_ID |ATTACK_SEVERITY|ATTACK_SIGNATURE|ATTACK_CONFIDENCE|ADMIN_DOMAIN|SENSOR_NAME|INTERFACE |SOURCE_IP|SOURCE_PORT|DESTINATION_IP|DESTINATION_PORT|CATEGORY|SUB_CATEGORY |DIRECTION|RESULT_STATUS|DETECTION_MECHANISM|APPLICATION_PROTOCOL|NETWORK_PROTOCOL|

このデータ コネクタは、McAfee® Network Security Platform バージョン 10.1.x を使用して開発されました。

McAfee ePolicy Orchestrator

Syslog サーバーを登録する方法のガイダンスについては、プロバイダーにお問い合わせください。

Microsoft Sysmon For Linux

このデータ コネクタは、Kusto 関数に基づくパーサーを利用して期待どおりに動作します。 パーサーをデプロイします

次の関数がデプロイされます。

  • vimFileEventLinuxSysmonFileCreated、vimFileEventLinuxSysmonFileDeleted
  • vimProcessCreateLinuxSysmon、vimProcessTerminateLinuxSysmon
  • vimNetworkSessionLinuxSysmon

詳細については、こちらを参照してください。

Nasuni

Nasuni Management Console Guide」(Nasuni Management Console ガイド) の説明に従って、syslog イベントを転送するように Nasuni Edge Appliance を構成します。 syslog 設定のサーバー構成フィールドには、Azure Monitor エージェントを実行している Linux デバイスの IP アドレスまたはホスト名を使います。

OpenVPN

OpenVPN が転送されるサーバーにエージェントをインストールします。 OpenVPN サーバー ログは、共通の syslog ファイルに書き込まれます (使用される Linux ディストリビューションに応じて、/var/log/messages など)。

Oracle Database Audit

次の手順を実行します。

  1. データベースを作成する 次の手順に従います。
  2. 作成した Oracle データベースにサインインします。 こちらの手順に従ってください
  3. こちらの手順に従って、統合ログ記録を有効にするようにシステムを変更することで、syslog に対する統合ログ記録を有効にします。
  4. こちらの手順に従って、統合監査の監査ポリシーを作成して有効にします。
  5. syslog とイベント ビューアーを有効にする 統合監査証跡のキャプチャ 次の手順に従います。

Pulse Connect Secure

こちらの手順に従って Pulse Connect Secure ログの syslog ストリーミングを有効にします。 Destination IP アドレスとしてインストールされている Linux エージェントを使用して、Linux デバイスの IP アドレスまたはホスト名を使用します。

Note

このデータ コネクタの機能は、操作に不可欠な Kusto 関数ベースのパーサーに依存しています。 このパーサーは、ソリューションのインストールの一部としてデプロイされます。

パーサーを更新し、パーサーの最初の行でログを送信するソース マシンのホスト名を指定します。

Log Analytics 内の関数コードにアクセスするには、[Log Analytics/Microsoft Sentinel ログ] セクションに移動し、[関数] を選択して、エイリアス PulseConnectSecureを検索します。 または、 関数コードを直接読み込みます。 更新には、インストール後に約 15 分かかる場合があります。

RSA SecurID

RSA® SecurID Authentication Manager のログを Microsoft Sentinel に取得するには、次の手順を実行します。 Manager から syslog サーバーにアラートを転送するには、こちらの手順に従ってください

Note

このデータ コネクタの機能は、操作に不可欠な Kusto 関数ベースのパーサーに依存しています。 このパーサーは、ソリューションのインストールの一部としてデプロイされます。

パーサーを更新し、パーサーの最初の行でログを送信するソース マシンのホスト名を指定します。

Log Analytics 内の関数コードにアクセスするには、Log Analytics/Microsoft Sentinel Logs セクションに移動し、[関数] を選択して、エイリアス RSASecurIDAMEventを検索します。 または、 関数コードを直接読み込むことができます。 更新には、インストール後に約 15 分かかる場合があります。

このデータ コネクタは、RSA SecurID Authentication Manager バージョン 8.4 および 8.5 を使用して開発されました

Sophos XG Firewall

これらの手順に従って、syslog ストリーミングを有効にします。 Destination IP アドレスとしてインストールされている Linux エージェントを使用して、Linux デバイスの IP アドレスまたはホスト名を使用します。

Note

このデータ コネクタの機能は、操作に不可欠な Kusto 関数ベースのパーサーに依存しています。 このパーサーは、ソリューションのインストールの一部としてデプロイされます。

パーサーを更新し、パーサーの最初の行でログを送信するソース マシンのホスト名を指定します。 Log Analytics 内の関数コードにアクセスするには、Log Analytics/Microsoft Sentinel Logs セクションに移動し、[関数] を選択して、エイリアス SophosXGFirewallを検索します。 または、 関数コードを直接読み込みます。 更新には、インストール後に約 15 分かかる場合があります。

Symantec Endpoint Protection

syslog を転送するように Symantec Endpoint Protection を構成するには、こちらの手順に従ってくださいDestination IP アドレスとしてインストールされている Linux エージェントを使用して、Linux デバイスの IP アドレスまたはホスト名を使用します。

Note

このデータ コネクタの機能は、操作に不可欠な Kusto 関数ベースのパーサーに依存しています。 このパーサーは、ソリューションのインストールの一部としてデプロイされます。

パーサーを更新し、パーサーの最初の行でログを送信するソース マシンのホスト名を指定します。 Log Analytics 内の関数コードにアクセスするには、Log Analytics/Microsoft Sentinel Logs セクションに移動し、[関数] を選択して、エイリアス SymantecEndpointProtectionを検索します。 または、 関数コードを直接読み込むことができます。 更新には、インストール後に約 15 分かかる場合があります。

Symantec ProxySG

  1. Blue Coat 管理コンソールにサインインします。

  2. Configuration>Access Logging>Formats を選択します。

  3. 新規を選択します。

  4. Format Name フィールドに一意の名前を入力します。

  5. Custom 書式指定文字列のラジオ ボタンを選択し次の文字列をフィールドに貼り付けます。

    1 $(date) $(time) $(time-taken) $(c-ip) $(cs-userdn) $(cs-auth-groups) $(x-exception-id) $(sc-filter-result) $(cs-categories) $(quot)$(cs(Referer))$(quot) $(sc-status) $(s-action) $(cs-method) $(quot)$(rs(Content-Type))$(quot) $(cs-uri-scheme) $(cs-host) $(cs-uri-port) $(cs-uri-path) $(cs-uri-query) $(cs-uri-extension) $(quot)$(cs(User-Agent))$(quot) $(s-ip) $(sr-bytes) $(rs-bytes) $(x-virus-id) $(x-bluecoat-application-name) $(x-bluecoat-application-operation) $(cs-uri-port) $(x-cs-client-ip-country) $(cs-threat-risk)

  6. [OK] を選択します。

  7. Applyn を選択します。

  8. 次の手順に従ってAccess ログの syslog ストリーミングを有効にします。 linux エージェントが Destination IP アドレスとしてインストールされている Linux デバイスの IP アドレスまたはホスト名 使用します。

Note

このデータ コネクタの機能は、操作に不可欠な Kusto 関数ベースのパーサーに依存しています。 このパーサーは、ソリューションのインストールの一部としてデプロイされます。

パーサーを更新し、パーサーの最初の行でログを送信するソース マシンのホスト名を指定します。

Log Analytics 内の関数コードにアクセスするには、Log Analytics/Microsoft Sentinel Logs セクションに移動し、[関数] を選択して、エイリアス SymantecProxySGを検索します。 または、 関数コードを直接読み込みます。 更新には、インストール後に約 15 分かかる場合があります。

Symantec VIP

これらの手順に従って、syslog を転送するように Symantec VIP Enterprise Gateway を構成します。 Destination IP アドレスとしてインストールされている Linux エージェントを使用して、Linux デバイスの IP アドレスまたはホスト名を使用します。

Note

このデータ コネクタの機能は、操作に不可欠な Kusto 関数ベースのパーサーに依存しています。 このパーサーは、ソリューションのインストールの一部としてデプロイされます。

パーサーを更新し、パーサーの最初の行でログを送信するソース マシンのホスト名を指定します。

Log Analytics 内の関数コードにアクセスするには、Log Analytics/Microsoft Sentinel ログ セクションに移動し、[関数] を選択して、エイリアス SymantecVIPを検索します。 または、 関数コードを直接読み込みます。 更新には、インストール後に約 15 分かかる場合があります。

VMware ESXi

  1. これらの指示に従って、Syslog を転送するように VMware ESXi を構成します。

  2. Destination IP アドレスとしてインストールされている Linux エージェントを使用して、Linux デバイスの IP アドレスまたはホスト名を使用します。

Note

このデータ コネクタの機能は、操作に不可欠な Kusto 関数ベースのパーサーに依存しています。 このパーサーは、ソリューションのインストールの一部としてデプロイされます。

パーサーを更新し、パーサーの最初の行でログを送信するソース マシンのホスト名を指定します。

Log Analytics 内の関数コードにアクセスするには、Log Analytics/Microsoft Sentinel ログ セクションに移動し、[関数] を選択して、別名 VMwareESXi を検索します。 または、 関数コードを直接読み込みます。 更新には、インストール後に約 15 分かかる場合があります。

WatchGuard Firebox

次の手順に従って Syslog 経由で WatchGuard のログ データを送信します。