AMA 데이터 커넥터를 통한 CEF - Microsoft Sentinel 데이터 수집을 위한 특정 어플라이언스 또는 디바이스 구성
많은 보안 어플라이언스 및 디바이스의 로그 수집은 Microsoft Sentinel의 AMA 데이터 커넥터를 통해 CEF(Common Event Format)에서 지원됩니다. 이 문서에서는 이 데이터 커넥터를 사용하는 특정 보안 어플라이언스 및 디바이스에 대한 공급자 제공 설치 지침을 나열합니다. 업데이트, 자세한 정보 또는 보안 어플라이언스 또는 디바이스에 대한 정보를 사용할 수 없는 경우 공급자에게 문의하세요.
Microsoft Sentinel용 Log Analytics 작업 영역에 데이터를 수집하려면 Azure Monitor 에이전트를 사용하여 Microsoft Sentinel에 대한 수집 syslog 및 CEF 메시지의 단계를 완료합니다. 이러한 단계에는 Microsoft Sentinel에서 AMA 데이터 커넥터를 통해 CEF(Common Event Format)를 설치하는 것이 포함됩니다. 커넥터가 설치되면 이 문서의 뒷부분에 나와 있는 디바이스에 적절한 지침을 사용하여 설정을 완료합니다.
이러한 각 어플라이언스 또는 디바이스에 대한 관련 Microsoft Sentinel 솔루션에 대한 자세한 내용은 Azure Marketplace에서 제품 유형>솔루션 템플릿을 검색하거나 Microsoft Sentinel의 콘텐츠 허브에서 솔루션을 검토하세요.
Important
Microsoft Sentinel은 일반적으로 Microsoft Defender 포털에서 Microsoft의 통합 보안 운영 플랫폼 내에서 사용할 수 있습니다. 미리 보기로 Microsoft Sentinel은 Microsoft Defender XDR 또는 E5 라이선스 없이 Defender 포털에서 사용할 수 있습니다. 자세한 내용은 Microsoft Defender 포털의 Microsoft Sentinel을 참조하세요.
AI Analyst Darktrace
Syslog 에이전트를 통해 CEF 형식의 syslog 메시지를 Azure 작업 영역으로 전달하도록 Darktrace를 구성합니다.
- Darktrace Threat Visualizer 내에서 관리자 아래 기본 메뉴에 있는 시스템 구성 페이지로 이동합니다.
- 왼쪽 메뉴에서 모듈을 선택하고 사용 가능한 워크플로 통합에서 Microsoft Sentinel을 선택합니다.
- Microsoft Sentinel syslog CEF를 찾아 새로 만들기를 선택하여 구성 설정을 표시합니다(아직 노출되지 않은 경우).
- 서버 구성 필드에 로그 전달자의 위치를 입력하고 선택적으로 통신 포트를 수정합니다. 선택한 포트가 514로 설정되어 있고 모든 중간 방화벽에서 허용되는지 확인합니다.
- 필요에 따라 경고 임계값, 시간 오프셋 또는 기타 설정을 구성합니다.
- syslog 구문을 변경할 수 있도록 설정할 수 있는 다른 구성 옵션을 검토합니다.
- 알림 보내기를 사용하도록 설정하고 변경 사항을 저장합니다.
Akamai 보안 이벤트
다음 단계에 따라 CEF 형식의 syslog 메시지를 프록시 컴퓨터에 보내도록 Akamai CEF 커넥터를 구성합니다. 컴퓨터의 IP 주소에서 포트 514 TCP에 로그를 보내야 합니다.
AristaAwakeSecurity
다음 단계를 완료하여 IP 192.168.0.1의 TCP 포트 514에서 수신 대기하는 CEF 수집기에게 깨어 있는 적대적 모델 일치 결과를 전달합니다.
- 절전 모드 해제 UI의 검색 관리 기술 페이지로 이동합니다.
- +새 기술 추가를 선택합니다.
- 식을 다음으로 설정
integrations.cef.tcp { destination: "192.168.0.1", port: 514, secure: false, severity: Warning }
- 제목을 Microsoft Sentinel에 대한 절전 모드 해제 적대적 모델 일치 결과와 같은 설명이 포함된 이름으로 설정합니다.
- 참조 식별자를 integrations.cef.sentinel-forwarder와 같이 쉽게 검색할 수 있는 항목으로 설정합니다.
- 저장을 선택합니다.
정의 및 기타 필드를 저장한 후 몇 분 이내에 시스템은 감지될 때 새 모델 일치 결과를 CEF 이벤트 수집기로 보내기 시작합니다.
자세한 내용은 절전 모드 해제 UI의 도움말 설명서에서 보안 정보 및 이벤트 관리 푸시 통합 추가 페이지를 참조하세요.
Aruba ClearPass
Syslog 에이전트를 통해 CEF 형식의 syslog 메시지를 Microsoft Sentinel 작업 영역으로 전달하도록 Aruba ClearPass를 구성합니다.
- 다음 지침에 따라 Syslog를 전달하도록 Aruba ClearPass를 구성합니다.
- Linux 에이전트가 대상 IP 주소로 설치된 Linux 디바이스의 IP 주소 또는 호스트 이름을 사용합니다.
Barracuda WAF
Barracuda 웹 애플리케이션 방화벽은 AMA(Azure Monitoring Agent)를 통해 로그와 통합되고 Microsoft Sentinel로 직접 내보낼 수 있습니다.
Barracuda WAF 구성으로 이동하고 다음 매개 변수를 사용하여 연결을 설정하는 지침을 따릅니다.
웹 방화벽 로그 기능: 작업 영역 및 데이터>Syslog 탭의 고급 설정으로 이동합니다. 시설이 있는지 확인합니다.
모든 지역의 데이터는 선택한 작업 영역에 저장됩니다.
Broadcom SymantecDLP
Syslog 에이전트를 통해 CEF 형식의 syslog 메시지를 Microsoft Sentinel 작업 영역으로 전달하도록 Symantec DLP를 구성합니다.
- syslog를 전달하도록 Symantec DLP를 구성하려면 다음 지침을 따릅니다.
- Linux 에이전트가 대상 IP 주소로 설치된 Linux 디바이스의 IP 주소 또는 호스트 이름을 사용합니다.
Cisco Firepower EStreamer
Firepower eNcore eStreamer 클라이언트를 설치하고 구성합니다. 자세한 내용은 전체 설치 가이드를 참조하세요.
CiscoSEG
다음 단계를 완료하여 syslog를 통해 로그를 전달하도록 Cisco Secure Email Gateway를 구성합니다.
- 로그 구독을 구성 합니다.
- 로그 유형 필드에서 통합 이벤트 로그를 선택합니다.
Citrix Web App 방화벽
CEF 형식의 syslog 메시지를 프록시 머신에 보내도록 Citrix WAF를 구성합니다.
Citrix 지원에서 WAF 및 CEF 로그를 구성하는 가이드를 찾습니다.
이 가이드에 따라 로그를 프록시로 전달합니다. Linux 컴퓨터 IP 주소의 TCP 포트 514로 로그를 보내도록 합니다.
Claroty
CEF를 사용하여 로그 전달을 구성합니다.
- 구성 메뉴의 Syslog 섹션으로 이동합니다.
- +추가를 선택합니다.
- 새 Syslog 추가 대화 상자에서 원격 서버 IP, 포트, 프로토콜을 지정합니다.
- 메시지 형식 - CEF를 선택합니다.
- 저장을 선택하여 Syslog 추가 대화 상자를 종료합니다.
Contrast Protect
여기에 설명된 대로 이벤트를 syslog에 전달하도록 Contrast Protect 에이전트를 구성합니다. https://docs.contrastsecurity.com/en/output-to-syslog.html 애플리케이션에 대한 일부 공격 이벤트를 생성합니다.
CrowdStrike Falcon
CrowdStrike Falcon SIEM Collector를 배포하여 Syslog 에이전트를 통해 CEF 형식의 syslog 메시지를 Microsoft Sentinel 작업 영역으로 전달합니다.
- 다음 지침에 따라 SIEM 수집기 및 전달 syslog를 배포합니다.
- Linux 에이전트가 대상 IP 주소로 설치된 Linux 디바이스의 IP 주소 또는 호스트 이름을 사용합니다.
CyberArk EPV(Enterprise Password Vault) 이벤트
EPV에서 cEF 형식의 syslog 메시지를 프록시 컴퓨터에 보내도록 dbparm.ini 구성합니다. 컴퓨터 IP 주소의 포트 514 TCP로 로그를 보내야 합니다.
Delinea Secret Server
CEF 형식의 syslog 메시지를 프록시 머신에 보내도록 보안 솔루션을 설정합니다. 머신 IP 주소의 포트 514 TCP로 로그를 보내도록 합니다.
ExtraHop Reveal(x)
CEF 형식의 syslog 메시지를 프록시 머신에 보내도록 보안 솔루션을 설정합니다. 컴퓨터 IP 주소의 포트 514 TCP로 로그를 보내야 합니다.
- 지침에 따라 Reveal(x) 시스템에 ExtraHop Detection SIEM 커넥터 번들을 설치합니다. 이 통합을 위해서는 SIEM 커넥터가 필요합니다.
- ExtraHop 검색 SIEM 커넥터 - CEF에 대한 트리거를 사용하도록 설정합니다.
- 트리거를 만든 ODS syslog 대상으로 업데이트합니다.
Reveal(x) 시스템은 Syslog 메시지를 CEF(Common Event Format)로 포맷한 다음, Microsoft Sentinel로 데이터를 보냅니다.
F5 Networks
Syslog 에이전트를 통해 CEF 형식의 syslog 메시지를 Microsoft Sentinel 작업 영역으로 전달하도록 F5를 구성합니다.
F5 애플리케이션 보안 이벤트 로깅 구성으로 이동하여 다음 지침을 사용하여 원격 로깅을 설정하는 지침을 따릅니다.
- 원격 스토리지 유형을 CEF로 설정합니다.
- 프로토콜 설정을 UDP로 설정합니다.
- IP 주소를 syslog 서버 IP 주소로 설정합니다.
- 포트 번호를 514로 설정하거나 에이전트에서 사용하는 포트를 설정합니다.
- 기능을 syslog 에이전트에서 구성한 기능으로 설정합니다. 기본적으로 에이전트는 이 값을 local4로 설정합니다.
- 최대 쿼리 문자열 크기를 구성한 것과 동일하게 설정할 수 있습니다.
FireEye 네트워크 보안
CEF를 사용하여 데이터를 보내려면 다음 단계를 완료합니다.
관리자 계정으로 FireEye 어플라이언스로 로그인합니다.
설정을 선택합니다.
알림을 선택합니다. rsyslog를 선택합니다.
이벤트 유형 확인란을 선택합니다.
Rsyslog 설정이 다음과 같은지 확인합니다.
- 기본 형식: CEF
- 기본 배달: 이벤트당
- 기본 보내기: 경고
Forcepoint CASB
CEF 형식의 syslog 메시지를 프록시 머신에 보내도록 보안 솔루션을 설정합니다. 머신 IP 주소의 포트 514 TCP로 로그를 보내도록 합니다.
Forcepoint CSG
통합은 다음 두 가지 구현 옵션과 함께 사용할 수 있습니다.
- 통합 구성 요소가 필요한 모든 종속성을 사용하여 이미 설치된 Docker 이미지를 사용합니다. 통합 가이드에 제공된 지침을 따릅니다.
- 정리 Linux 컴퓨터 내부에 통합 구성 요소를 수동으로 배포해야 합니다. 통합 가이드에 제공된 지침을 따릅니다.
Forcepoint NGFW
CEF 형식의 syslog 메시지를 프록시 머신에 보내도록 보안 솔루션을 설정합니다. 머신 IP 주소의 포트 514 TCP로 로그를 보내도록 합니다.
CEF용 ForgeRock Common Audit
ForgeRock에서 설명서 https://github.com/javaservlets/SentinelAuditEventHandler에 따라 Microsoft Sentinel에 대한 이 CAUD(Common Audit)를 설치하고 구성합니다. 다음으로, Azure에서 단계에 따라 AMA 데이터 커넥터를 통해 CEF를 구성합니다.
Fortinet
CEF 형식의 Syslog 메시지를 프록시 컴퓨터로 보내도록 Fortinet을 설정합니다. 컴퓨터 IP 주소의 포트 514 TCP로 로그를 보내야 합니다.
아래 CLI 명령을 복사하고 다음을 수행합니다.
- "서버 <ip 주소>"를 Syslog 에이전트의 IP 주소로 바꿉니다.
- Syslog 에이전트에서 구성한 시설을 사용하려면 "<facility_name>"을 설정합니다. 기본적으로 에이전트는 이를 local4로 설정합니다.
- Syslog 포트를 에이전트가 사용하는 포트인 514로 설정합니다.
- 초기 FortiOS 버전에서 CEF 형식을 사용하도록 설정하려면 명령 집합 "set csv disable"을 실행해야 할 수 있습니다.
자세한 내용을 보려면 Fortinet Document Library로 이동하여 버전을 선택하고 "Handbook" 및 "Log Message Reference" PDF를 참조하세요.
CLI를 사용하여 연결을 설정하여 다음 명령을 실행합니다. config log syslogd setting/n set status enable/nset format cef/nset port 514/nset server <ip_address_of_Receiver>/nend
iboss
CEF 형식의 syslog 메시지를 Azure 작업 영역으로 보내도록 위협 콘솔을 설정합니다. Log Analytics 작업 영역 내에서 작업 영역 ID 및 기본 키를 기록해 둡니다. Azure Portal의 Log Analytics 작업 영역 메뉴에서 작업 영역을 선택합니다. 그런 다음, 설정 섹션에서 에이전트 관리를 선택합니다.
- iboss 콘솔 내에서 보고 및 분석으로 이동합니다.
- 기자로부터 전달 로그 전달을>선택합니다.
- 작업>서비스 추가를 선택합니다.
- Microsoft Sentinel을 서비스 유형으로 전환하고 다른 조건과 함께 작업 영역 ID/기본 키를 입력합니다. 전용 프록시 Linux 머신이 구성된 경우 Syslog를 서비스 유형으로 전환하고 전용 프록시 Linux 컴퓨터를 가리키도록 설정을 구성합니다.
- 설치가 완료되기까지 1~2분 정도 기다립니다.
- Microsoft Sentinel 서비스를 선택하고 Microsoft Sentinel 설치 상태가 성공했는지 확인합니다. 전용 프록시 Linux 컴퓨터가 구성된 경우 연결의 유효성을 검사할 수 있습니다.
Illumio Core
이벤트 형식을 구성합니다.
- PCE 웹 콘솔 메뉴에서 설정 > 이벤트 설정을 선택하여 현재 설정을 봅니다.
- 편집을 선택하여 설정을 변경합니다.
- 이벤트 형식을 CEF로 설정합니다.
- (선택 사항) 이벤트 심각도 및 보존 기간을 구성합니다.
외부 syslog 서버로 이벤트 전달을 구성합니다.
- PCE 웹 콘솔 메뉴에서 설정>이벤트 설정을 선택합니다.
- 추가를 선택합니다.
- 리포지토리 추가를 선택합니다.
- 리포지토리 추가 대화 상자를 완료합니다.
- 확인을 선택하여 이벤트 전달 구성을 저장합니다.
Illusive Platform
CEF 형식의 syslog 메시지를 프록시 머신에 보내도록 보안 솔루션을 설정합니다. 머신 IP 주소의 포트 514 TCP로 로그를 보내도록 합니다.
Illusive 콘솔에 로그인하고 설정>보고로 이동합니다.
Syslog 서버를 찾 습니다.
다음 정보를 지정합니다.
- 호스트 이름: Linux Syslog 에이전트 IP 주소 또는 FQDN 호스트 이름
- 포트: 514
- 프로토콜: TCP
- 감사 메시지: 서버에 감사 메시지 보내기
syslog 서버를 추가하려면 추가를 선택합니다.
Illusive 플랫폼에서 새 syslog 서버를 추가하는 방법에 대한 자세한 내용은 다음에서 Illusive Networks 관리 가이드를 참조하세요. https://support.illusivenetworks.com/hc/en-us/sections/360002292119-Documentation-by-Version
Imperva WAF 게이트웨이
이 커넥터를 사용하려면 Imperva SecureSphere MX에 작업 인터페이스 및 작업 집합 을 만들어야 합니다. 단계에 따라 요구 사항을 만듭니다.
- WAF 경고를 Microsoft Sentinel로 보내는 데 필요한 매개 변수가 포함된 새 작업 인터페이스 를 만듭니다.
- 구성된 작업 인터페이스를 사용하는 새 작업 집합을 만듭니다.
- Microsoft Sentinel로 전송할 경고가 있는 모든 보안 정책에 작업 집합을 적용합니다.
Infoblox Cloud Data Connector
Linux syslog 에이전트를 통해 BloxOne 데이터를 Microsoft Sentinel로 보내도록 Infoblox CDC를 구성하려면 다음 단계를 완료합니다.
- 데이터 커넥터 관리>로 이동합니다.
- 맨 위에 있는 대상 구성 탭을 선택합니다.
- Syslog 만들기 > 를 선택합니다.
- 이름: 새 대상에 Microsoft-Sentinel-Destination과 같은 의미 있는 이름을 지정합니다.
- 설명: 필요에 따라 의미 있는 설명을 제공합니다.
- 상태: 상태를 사용으로 설정합니다.
- 형식: 형식을 CEF로 설정합니다.
- FQDN/IP: Linux 에이전트가 설치된 Linux 디바이스의 IP 주소를 입력합니다.
- 포트: 포트 번호를 514로 그대로 둡니다.
- 프로토콜: 해당하는 경우 원하는 프로토콜 및 CA 인증서를 선택합니다.
- 저장 후 닫기를 선택합니다.
- 맨 위에 있는 트래픽 흐름 구성 탭을 선택합니다.
- 만들기를 실행합니다.
- 이름: 새 트래픽 흐름에 Microsoft-Sentinel-Flow와 같은 의미 있는 이름을 지정합니다.
- 설명: 필요에 따라 의미 있는 설명을 제공합니다.
- 상태: 상태를 사용으로 설정합니다.
- 서비스 인스턴스 섹션을 확장합니다.
- 서비스 인스턴스: 데이터 커넥터 서비스가 사용하도록 설정된 원하는 서비스 인스턴스를 선택합니다.
- 원본 구성 섹션을 확장합니다.
- 원본: BloxOne Cloud Source를 선택합니다.
- 수집하려는 모든 로그 유형을 선택합니다. 현재 지원되는 로그 유형은 다음과 같습니다.
- TD(Threat Defense) 쿼리/응답 로그
- TD(Threat Defense) 위협 피드 적중 횟수 로그
- DDI 쿼리/응답 로그
- DDI DHCP 임대 로그
- 대상 구성 섹션을 확장합니다.
- 만든 대상을 선택합니다.
- 저장 후 닫기를 선택합니다.
- 구성이 활성화할 약간의 시간을 허용합니다.
Infoblox SOC Insights
Linux syslog 에이전트를 통해 BloxOne 데이터를 Microsoft Sentinel로 보내도록 Infoblox CDC를 구성하려면 다음 단계를 완료합니다.
- 관리 > 데이터 커넥터로 이동합니다.
- 맨 위에 있는 대상 구성 탭을 선택합니다.
- Syslog 만들기 > 를 선택합니다.
- 이름: 새 대상에 Microsoft-Sentinel-Destination과 같은 의미 있는 이름을 지정합니다.
- 설명: 필요에 따라 의미 있는 설명을 제공합니다.
- 상태: 상태를 사용으로 설정합니다.
- 형식: 형식을 CEF로 설정합니다.
- FQDN/IP: Linux 에이전트가 설치된 Linux 디바이스의 IP 주소를 입력합니다.
- 포트: 포트 번호를 514로 그대로 둡니다.
- 프로토콜: 해당하는 경우 원하는 프로토콜 및 CA 인증서를 선택합니다.
- 저장 후 닫기를 선택합니다.
- 맨 위에 있는 트래픽 흐름 구성 탭을 선택합니다.
- 만들기를 실행합니다.
- 이름: 새 트래픽 흐름에 Microsoft-Sentinel-Flow와 같은 의미 있는 이름을 지정합니다.
- 설명: 필요에 따라 의미 있는 설명을 제공합니다.
- 상태: 상태를 사용으로 설정합니다.
- 서비스 인스턴스 섹션을 확장합니다.
- 서비스 인스턴스: 데이터 커넥터 서비스가 사용하도록 설정된 원하는 서비스 인스턴스를 선택합니다.
- 원본 구성 섹션을 확장합니다.
- 원본: BloxOne Cloud Source를 선택합니다.
- 내부 알림 로그 유형을 선택합니다.
- 대상 구성 섹션을 확장합니다.
- 만든 대상을 선택합니다.
- 저장 후 닫기를 선택합니다.
- 구성이 활성화할 약간의 시간을 허용합니다.
KasperskySecurityCenter
지침에 따라 Kaspersky Security Center에서 이벤트 내보내기를 구성합니다.
Morphisec
CEF 형식의 syslog 메시지를 프록시 머신에 보내도록 보안 솔루션을 설정합니다. 머신 IP 주소의 포트 514 TCP로 로그를 보내도록 합니다.
Netwrix 감사자
지침에 따라 Netwrix Auditor에서 이벤트 내보내기를 구성합니다.
NozomiNetworks
CEF 형식의 syslog를 통해 경고, 감사 및 상태 로그를 보내도록 Nozomi Networks 디바이스를 구성하려면 다음 단계를 완료합니다.
- 가디언 콘솔에 로그인합니다.
- 관리>데이터 통합 이동합니다.
- +추가를 선택합니다.
- 드롭다운에서 CEF(Common Event Format) 를 선택합니다.
- 적절한 호스트 정보를 사용하여 새 엔드포인트를 만듭니다.
- 보내기 위해 경고, 감사 로그 및 상태 로그를 사용하도록 설정합니다.
Onapsis Platform
Syslog 에이전트에 로그 전달을 설정하려면 Onapsis 제품 내 도움말을 참조하세요.
타사 통합>설치>로 이동하여 알람을 방어하고 Microsoft Sentinel에 대한 지침을 따릅니다.
Onapsis 콘솔이 에이전트가 설치된 프록시 컴퓨터에 연결할 수 있는지 확인합니다. 로그는 TCP를 사용하여 포트 514로 전송되어야 합니다.
OSSEC
다음 단계에 따라 syslog를 통해 경고를 보내는 OSSEC를 구성합니다.
팔로 알토 - XDR(Cortex)
Syslog 에이전트를 통해 CEF 형식의 메시지를 Microsoft Sentinel 작업 영역으로 전달하도록 Palo Alto XDR(Cortex)을 구성합니다.
- Cortex 설정 및 구성으로 이동합니다.
- 외부 애플리케이션에서 새 서버를 추가하려면 선택합니다.
- 그런 다음, 이름을 지정하고 대상에서 syslog 서버의 공용 IP를 제공합니다.
- 포트 번호를 514로 지정합니다.
- [시설] 필드에서 드롭다운에서 FAC_SYSLOG 선택합니다.
- 프로토콜을 UDP로 선택합니다.
- 만들기를 실행합니다.
PaloAlto-PAN-OS
Syslog 에이전트를 통해 CEF 형식의 syslog 메시지를 Microsoft Sentinel 작업 영역으로 전달하도록 Palo Alto Networks를 구성합니다.
Palo Alto CEF 구성 및 Palo Alto Syslog 모니터링 구성 2, 3단계로 이동하고 해당 버전을 선택하고 다음 지침을 사용하여 지침을 따릅니다.
- Syslog 서버 형식을 BSD로 설정합니다.
- 텍스트를 편집기에 복사하고 붙여넣기 전에 로그 형식을 깨뜨릴 수 있는 문자를 제거합니다. PDF의 복사/붙여넣기 작업은 텍스트를 변경하고 임의의 문자를 삽입할 수도 있습니다.
PaloAltoCDL
지침 에 따라 Cortex Data Lake에서 syslog Server로 로그 전달을 구성합니다.
PingFederate
CEF 형식의 syslog를 통해 감사 로그를 전송하는 PingFederate를 구성하려면 다음 단계를 따릅니다.
RidgeSecurity
여기에 설명 된 대로 syslog 서버에 이벤트를 전달하도록 RidgeBot을 구성합니다. 애플리케이션에 대한 일부 공격 이벤트를 생성합니다.
SonicWall 방화벽
SonicWall 방화벽을 설정하여 CEF 형식의 syslog 메시지를 프록시 머신으로 보냅니다. 컴퓨터 IP 주소의 포트 514 TCP로 로그를 보내야 합니다.
지침을 따릅니다. 그런 다음, 로컬 사용 4를 시설로 선택해야 합니다. 그런 다음, ArcSight를 syslog 형식으로 선택합니다.
Trend Micro Apex One
다음 단계에 따라 syslog를 통해 경고를 전송하는 Apex Central을 구성합니다. 구성하는 동안 6단계에서 로그 형식 CEF를 선택합니다.
Trend Micro Deep Security
CEF 형식의 syslog 메시지를 프록시 머신에 보내도록 보안 솔루션을 설정합니다. 컴퓨터의 IP 주소에서 포트 514 TCP에 로그를 보내야 합니다.
- Trend Micro Deep Security 이벤트를 syslog 에이전트로 전달합니다.
- 추가 정보는 이 기술 문서를 참조하여 CEF 형식을 사용하는 새 syslog 구성을 정의합니다.
- 이 새 구성을 사용하여 이러한 지침을 사용하여 syslog 에이전트에 이벤트를 전달하도록 Deep Security Manager를 구성합니다.
- Trend Micro Deep Security 데이터를 제대로 쿼리하도록 TrendMicroDeepSecurity 함수를 저장해야 합니다.
Trend Micro TippingPoint
ArcSight CEF 형식 v4.2 형식의 syslog 메시지를 프록시 컴퓨터에 보내도록 TippingPoint SMS를 설정합니다. 머신 IP 주소의 포트 514 TCP로 로그를 보내도록 합니다.
vArmour 애플리케이션 컨트롤러
CEF 형식의 syslog 메시지를 프록시 머신에 보냅니다. 컴퓨터 IP 주소의 TCP 포트 514로 로그를 보내도록 합니다.
https://support.varmour.com/hc/en-us/articles/360057444831-vArmour-Application-Controller-6-0-User-Guide에서 사용자 가이드를 다운로드합니다. 사용자 가이드에서 "모니터링 및 위반에 대한 Syslog 구성"을 참조하고 1~3단계를 수행합니다.
Vectra AI Detect
Syslog 에이전트를 통해 CEF 형식의 syslog 메시지를 Microsoft Sentinel 작업 영역으로 전달하도록 Vectra(X 시리즈) 에이전트를 구성합니다.
Vectra UI에서 설정 > 알림 및 편집 syslog 구성으로 이동합니다. 연결을 설정하려면 아래 지침을 따릅니다.
- 새 대상(Microsoft Sentinel syslog 에이전트가 실행 중인 호스트)을 추가합니다.
- 포트를 514로 설정합니다.
- 프로토콜을 UDP로 설정합니다.
- 형식을 CEF로 설정합니다.
- 로그 유형을 설정합니다. 사용 가능한 모든 로그 유형을 선택합니다.
- 저장을 선택합니다.
- 테스트 단추를 선택하여 일부 테스트 이벤트를 보냅니다.
자세한 내용은 Detect UI의 리소스 페이지에서 다운로드할 수 있는 Cognito Detect Syslog 가이드를 참조하세요.
Votiro
CEF 형식의 syslog 메시지를 전달자 컴퓨터로 보내도록 Votiro 엔드포인트를 설정합니다. 전달자 컴퓨터의 IP 주소에서 포트 514 TCP에 로그를 보내야 합니다.
WireX 네트워크 포렌식 플랫폼
CEF 형식의 syslog 메시지를 프록시 머신에 보내도록 NFP 솔루션을 구성하려면 WireX 지원(https://wirexsystems.com/contact-us/)에 문의하세요. 중앙 관리자가 컴퓨터 IP 주소의 포트 514 TCP로 로그를 보낼 수 있는지 확인합니다.
WithSecure Elements via Connector
WithSecure Elements Connector 어플라이언스와 Microsoft Sentinel을 연결합니다. WithSecure Elements Connector 데이터 커넥터를 사용하면 WithSecure Elements 로그를 Microsoft Sentinel에 쉽게 연결하여 대시보드를 보고, 사용자 지정 경고를 만들고, 조사를 개선할 수 있습니다.
참고 항목
데이터는 Microsoft Sentinel을 실행 중인 작업 영역의 지리적 위치에 저장됩니다.
Syslog 에이전트를 통해 CEF 형식의 syslog 메시지를 Log Analytics 작업 영역으로 전달하도록 Secure Elements Connector로 구성합니다.
- WithSecurity 솔루션과 Microsoft Sentinel 간의 프록시로 사용할 Microsoft Sentinel용 Linux 머신을 선택하거나 만듭니다. 컴퓨터는 온-프레미스 환경, Microsoft Azure 또는 기타 클라우드 기반 환경일 수 있습니다. Linux에는
syslog-ng
및python
/python3
이(가) 설치되어 있어야 합니다. - Linux 컴퓨터에 AMA(Azure Monitoring Agent)를 설치하고 필요한 포트에서 수신 대기하고 Microsoft Sentinel 작업 영역에 메시지를 전달하도록 컴퓨터를 구성합니다. CEF 수집기는 포트 514 TCP에서 CEF 메시지를 수집합니다. 머신에 상승된 권한(sudo)이 있어야 합니다.
- WithSecure 요소 포털에서 EPP로 이동합니다. 그런 다음 다운로드로 이동합니다. Elements Connector 섹션에서 구독 키 만들기를 선택합니다. 구독에서 구독 키를 확인할 수 있습니다.
- WithSecure Elements Connector의 다운로드 섹션에서 올바른 설치 관리자를 선택하고 다운로드합니다.
- EPP의 경우 오른쪽 위 모서리에서 계정 설정을 엽니다. 그런 다음 관리 API 키 가져오기를 선택합니다. 키가 이전에 만들어진 경우 해당 키도 읽을 수 있습니다.
- Elements Connector를 설치하려면 Elements Connector Docs를 따릅니다.
- 설치 중에 API 액세스가 구성되지 않은 경우 Elements Connector에 대한 API 액세스 구성을 따릅니다.
- EPP로 이동한 다음, 프로파일로 이동한 다음 커넥터 프로필을 볼 수 있는 위치에서 For Connector를 사용합니다. 새 프로필을 만들거나 읽기 전용이 아닌 기존 프로필을 편집합니다. 이벤트 전달에서 사용하도록 설정합니다. SIEM 시스템 주소 설정: 127.0.0.1:514. 형식을 Common Event Format으로 설정합니다. 프로토콜은 TCP입니다. 프로필을 저장하고 디바이스 탭의 Elements Connector 에 할당합니다 .
- WithSecure Elements Connector에 대한 Log Analytics의 관련 스키마를 사용하려면 CommonSecurityLog를 검색합니다.
- CEF 연결의 유효성을 계속 검사합니다.
Zscaler
Syslog 에이전트에 CEF 형식의 syslog 메시지를 보내도록 Zscaler 제품을 설정합니다. 포트 514 TCP에 로그를 보내야 합니다.
자세한 내용은 Zscaler Microsoft Sentinel 통합 가이드를 참조 하세요.