CEF za pośrednictwem łącznika danych usługi AMA — konfigurowanie określonego urządzenia lub urządzenia na potrzeby pozyskiwania danych usługi Microsoft Sentinel
Zbieranie dzienników z wielu urządzeń zabezpieczeń i urządzeń jest obsługiwane przez łącznik danych Common Event Format (CEF) za pośrednictwem łącznika danych usługi AMA w usłudze Microsoft Sentinel. W tym artykule wymieniono instrukcje instalacji dostarczone przez dostawcę dotyczące określonych urządzeń zabezpieczeń i urządzeń korzystających z tego łącznika danych. Skontaktuj się z dostawcą w celu uzyskania aktualizacji, więcej informacji lub miejsca, w którym informacje są niedostępne dla urządzenia lub urządzenia zabezpieczeń.
Aby pozyskać dane do obszaru roboczego usługi Log Analytics dla usługi Microsoft Sentinel, wykonaj kroki opisane w temacie Pozyskiwanie dzienników systemu i komunikatów CEF do usługi Microsoft Sentinel za pomocą agenta usługi Azure Monitor. Te kroki obejmują instalację formatu Common Event Format (CEF) za pośrednictwem łącznika danych usługi AMA w usłudze Microsoft Sentinel. Po zainstalowaniu łącznika użyj instrukcji odpowiednich dla urządzenia, jak pokazano w dalszej części tego artykułu, aby ukończyć instalację.
Aby uzyskać więcej informacji na temat powiązanego rozwiązania usługi Microsoft Sentinel dla każdego z tych urządzeń lub urządzeń, wyszukaj w witrynie Azure Marketplace szablony rozwiązań typu>produktu lub zapoznaj się z rozwiązaniem z centrum zawartości w usłudze Microsoft Sentinel.
Ważne
Usługa Microsoft Sentinel jest ogólnie dostępna na ujednoliconej platformie operacji zabezpieczeń firmy Microsoft w portalu usługi Microsoft Defender. W wersji zapoznawczej usługa Microsoft Sentinel jest dostępna w portalu usługi Defender bez usługi Microsoft Defender XDR lub licencji E5. Aby uzyskać więcej informacji, zobacz Microsoft Sentinel w portalu usługi Microsoft Defender.
Analityk sztucznej inteligencji — darktrace
Skonfiguruj funkcję Darktrace, aby przekazywać komunikaty dziennika systemowego w formacie CEF do obszaru roboczego platformy Azure za pośrednictwem agenta dziennika systemowego.
- W narzędziu Darktrace Threat Visualizer przejdź do strony Konfiguracja systemu w menu głównym w obszarze Administrator.
- W menu po lewej stronie wybierz pozycję Moduły i wybierz pozycję Microsoft Sentinel z dostępnych integracji przepływu pracy.
- Znajdź plik CEF dziennika syslogu usługi Microsoft Sentinel i wybierz pozycję Nowy , aby wyświetlić ustawienia konfiguracji, chyba że zostały już ujawnione.
- W polu Konfiguracja serwera wprowadź lokalizację usługi przesyłania dalej dziennika i opcjonalnie zmodyfikuj port komunikacyjny. Upewnij się, że wybrany port ma wartość 514 i jest dozwolony przez wszystkie zapory pośrednie.
- Skonfiguruj wszelkie progi alertów, przesunięcia czasu lub inne ustawienia zgodnie z potrzebami.
- Przejrzyj inne opcje konfiguracji, które można włączyć, aby zmienić składnię dziennika systemowego.
- Włącz opcję Wyślij alerty i zapisz zmiany.
Zdarzenia zabezpieczeń Akamai
Wykonaj następujące kroki , aby skonfigurować łącznik Akamai CEF do wysyłania komunikatów dziennika systemowego w formacie CEF do maszyny proxy. Upewnij się, że dzienniki są wysyłane do portu 514 TCP na adres IP maszyny.
AristaAwakeSecurity
Wykonaj następujące kroki, aby przekazać wyniki dopasowania modelu Awake Adversarial do modułu zbierającego CEF nasłuchującego na porcie TCP 514 pod adresem IP 192.168.0.1:
- Przejdź do strony Umiejętności zarządzania wykrywaniem w interfejsie użytkownika aplikacji Awake.
- Wybierz pozycję + Dodaj nową umiejętność.
- Ustaw wyrażenie na
integrations.cef.tcp { destination: "192.168.0.1", port: 514, secure: false, severity: Warning }
- Ustaw wartość Tytuł na opisową nazwę, taką jak Forward Awake Adversarial Model match result (Wynik dopasowania modelu adversarial) na wartość Microsoft Sentinel.
- Ustaw identyfikator odwołania na coś, co można łatwo odnaleźć, na przykład integrations.cef.sentinel-forwarder.
- Wybierz pozycję Zapisz.
W ciągu kilku minut od zapisania definicji i innych pól system zacznie wysyłać nowe wyniki dopasowania modelu do modułu zbierającego zdarzenia CEF w miarę ich wykrywania.
Aby uzyskać więcej informacji, zobacz stronę Dodawanie informacji o zabezpieczeniach i zarządzania zdarzeniami — integracja wypychana z dokumentacji pomocy w interfejsie użytkownika aplikacji Awake.
ClearPass
Skonfiguruj aplikację Eso ClearPass, aby przekazywać komunikaty dziennika systemowego w formacie CEF do obszaru roboczego usługi Microsoft Sentinel za pośrednictwem agenta dziennika systemowego.
- Postępuj zgodnie z tymi instrukcjami , aby skonfigurować bibliotekę ClearPass w celu przesyłania dalej dziennika systemowego.
- Użyj adresu IP lub nazwy hosta dla urządzenia z systemem Linux z agentem systemu Linux zainstalowanym jako docelowy adres IP .
Zapora aplikacji internetowej Barracuda
Zapora aplikacji internetowej Barracuda może integrować się z dziennikami i eksportować je bezpośrednio do usługi Microsoft Sentinel za pośrednictwem agenta monitorowania platformy Azure (AMA).
Przejdź do konfiguracji zapory aplikacji internetowej Barracuda i postępuj zgodnie z instrukcjami, korzystając z następujących parametrów, aby skonfigurować połączenie.
Funkcja dzienników zapory internetowej: przejdź do ustawień zaawansowanych obszaru roboczego i na kartach Dziennik systemu danych>. Upewnij się, że obiekt istnieje.
Zwróć uwagę, że dane ze wszystkich regionów są przechowywane w wybranym obszarze roboczym.
Broadcom SymantecDLP
Skonfiguruj program Symantec DLP, aby przekazywać komunikaty dziennika systemu w formacie CEF do obszaru roboczego usługi Microsoft Sentinel za pośrednictwem agenta dziennika systemowego.
- Postępuj zgodnie z tymi instrukcjami , aby skonfigurować program Symantec DLP do przesyłania dalej dziennika systemowego
- Użyj adresu IP lub nazwy hosta dla urządzenia z systemem Linux z agentem systemu Linux zainstalowanym jako docelowy adres IP .
Cisco Firepower EStreamer
Zainstaluj i skonfiguruj klienta eStreamer Firepower eNcore. Aby uzyskać więcej informacji, zobacz pełny przewodnik instalacji.
CiscoSEG
Wykonaj następujące kroki, aby skonfigurować bramę Cisco Secure Email Gateway do przekazywania dzienników za pośrednictwem dziennika systemowego:
- Skonfiguruj subskrypcję dziennika.
- Wybierz pozycję Skonsolidowane dzienniki zdarzeń w polu Typ dziennika.
Zapora aplikacji internetowej Citrix
Skonfiguruj zaporę aplikacji internetowej Citrix w celu wysyłania komunikatów dziennika systemowego w formacie CEF do maszyny proxy.
Znajdź przewodniki dotyczące konfigurowania dzienników zapory aplikacji internetowej i formatu CEF z poziomu pomocy technicznej citrix.
Postępuj zgodnie z tym przewodnikiem , aby przekazać dzienniki do serwera proxy. Upewnij się, że dzienniki są wysyłane do portu 514 TCP na adres IP maszyny z systemem Linux.
Claroty
Konfigurowanie przekazywania dzienników przy użyciu formatu CEF.
- Przejdź do sekcji Dziennik systemu w menu Konfiguracja.
- Wybierz pozycję +Dodaj.
- W oknie dialogowym Dodawanie nowego dziennika systemowego określ adres IP serwera zdalnego, port, protokół.
- Wybierz pozycję Format - wiadomości CEF.
- Wybierz pozycję Zapisz , aby zamknąć okno dialogowe Dodawanie dziennika systemowego.
Ochrona kontrastu
Skonfiguruj agenta Programu Contrast Protect, aby przekazywać zdarzenia do dziennika systemowego zgodnie z opisem w tym miejscu: https://docs.contrastsecurity.com/en/output-to-syslog.html. Wygeneruj zdarzenia ataku dla aplikacji.
CrowdStrike Falcon
Wdróż moduł zbierający CrowdStrike Falcon SIEM, aby przekazywać komunikaty dziennika systemu w formacie CEF do obszaru roboczego usługi Microsoft Sentinel za pośrednictwem agenta dziennika systemowego.
- Postępuj zgodnie z tymi instrukcjami , aby wdrożyć moduł zbierający SIEM i przekazać dziennik systemowy.
- Użyj adresu IP lub nazwy hosta dla urządzenia z systemem Linux z agentem systemu Linux zainstalowanym jako docelowy adres IP.
Zdarzenia usługi CyberArk Enterprise Password Vault (EPV)
W protokole EPV skonfiguruj dbparm.ini do wysyłania komunikatów dziennika systemowego w formacie CEF do maszyny proxy. Upewnij się, że dzienniki są wysyłane do portu 514 TCP na adresIE IP maszyn.
Delinea Secret Server
Ustaw rozwiązanie zabezpieczeń, aby wysyłać komunikaty dziennika systemowego w formacie CEF do maszyny proxy. Upewnij się, że dzienniki są wysyłane do portu 514 TCP na adres IP maszyny.
ExtraHop Reveal(x)
Ustaw rozwiązanie zabezpieczeń, aby wysyłać komunikaty dziennika systemowego w formacie CEF do maszyny proxy. Pamiętaj, aby wysłać dzienniki do portu 514 TCP na adres IP maszyny.
- Postępuj zgodnie z instrukcjami, aby zainstalować pakiet łącznika SIEM wykrywania ekstrahop w systemie Reveal(x). Do tej integracji wymagany jest łącznik SIEM.
- Włącz wyzwalacz dla łącznika SIEM wykrywania ekstrahop — CEF.
- Zaktualizuj wyzwalacz za pomocą utworzonych obiektów docelowych dziennika systemu ODS.
System Reveal(x) formatuje komunikaty dziennika systemowego w formacie Common Event Format (CEF), a następnie wysyła dane do usługi Microsoft Sentinel.
F5 Networks
Skonfiguruj F5, aby przekazywać komunikaty dziennika systemowego w formacie CEF do obszaru roboczego usługi Microsoft Sentinel za pośrednictwem agenta dziennika systemowego.
Przejdź do pozycji F5 Konfigurowanie rejestrowania zdarzeń zabezpieczeń aplikacji, postępuj zgodnie z instrukcjami konfigurowania rejestrowania zdalnego, korzystając z następujących wskazówek:
- Ustaw typ magazynu zdalnego na CEF.
- Ustaw ustawienie Protokół na UDP.
- Ustaw adres IP na adres IP serwera syslog.
- Ustaw numer portu na 514 lub port używany przez agenta.
- Ustaw obiekt na ten, który został skonfigurowany w agencie dziennika systemowego. Domyślnie agent ustawia tę wartość na wartość local4.
- Można ustawić maksymalny rozmiar ciągu zapytania na taki sam jak skonfigurowany.
FireEye Network Security
Wykonaj następujące kroki, aby wysłać dane przy użyciu formatu CEF:
Zaloguj się do urządzenia FireEye przy użyciu konta administratora.
Wybierz Ustawienia.
Wybierz pozycję Powiadomienia. Wybierz pozycję rsyslog.
Zaznacz pole wyboru Typ zdarzenia.
Upewnij się, że ustawienia rsyslog to:
- Format domyślny: CEF
- Domyślne dostarczanie: na zdarzenie
- Domyślne wysyłanie jako: Alert
Forcepoint CASB
Ustaw rozwiązanie zabezpieczeń, aby wysyłać komunikaty dziennika systemowego w formacie CEF do maszyny proxy. Upewnij się, że dzienniki są wysyłane do portu 514 TCP na adres IP maszyny.
Forcepoint CSG
Integracja jest udostępniana za pomocą dwóch opcji implementacji:
- Używa obrazów platformy Docker, w których składnik integracji jest już zainstalowany ze wszystkimi niezbędnymi zależnościami. Postępuj zgodnie z instrukcjami podanymi w przewodniku integracji.
- Wymaga ręcznego wdrożenia składnika integracji na czystej maszynie z systemem Linux. Postępuj zgodnie z instrukcjami podanymi w przewodniku integracji.
Forcepoint NGFW
Ustaw rozwiązanie zabezpieczeń, aby wysyłać komunikaty dziennika systemowego w formacie CEF do maszyny proxy. Upewnij się, że dzienniki są wysyłane do portu 514 TCP na adres IP maszyny.
ForgeRock Common Audit for CEF
W aplikacji ForgeRock zainstaluj i skonfiguruj tę wspólną inspekcję (CAUD) dla usługi Microsoft Sentinel zgodnie z dokumentacją pod adresem https://github.com/javaservlets/SentinelAuditEventHandler. Następnie na platformie Azure wykonaj kroki konfigurowania formatu CEF za pośrednictwem łącznika danych usługi AMA.
Fortinet
Ustaw wartość Fortinet, aby wysyłać komunikaty dziennika systemowego w formacie CEF do maszyny proxy. Upewnij się, że dzienniki są wysyłane do portu 514 TCP na adresIE IP maszyny.
Skopiuj poniższe polecenia interfejsu wiersza polecenia i:
- Zastąp ciąg "adres> IP serwera<" adresem IP agenta usługi Syslog.
- Ustaw wartość "<facility_name>", aby użyć obiektu skonfigurowanego w agencie syslogu (domyślnie agent ustawia go na wartość local4).
- Ustaw port dziennika systemowego na 514, a port używany przez agenta.
- Aby włączyć format CEF we wczesnych wersjach fortiOS, może być konieczne uruchomienie polecenia "set csv disable".
Aby uzyskać więcej informacji, przejdź do biblioteki dokumentów Fortinet, wybierz swoją wersję i użyj plików PDF "Podręcznik" i "Dokumentacja komunikatów dziennika".
Skonfiguruj połączenie przy użyciu interfejsu wiersza polecenia, aby uruchomić następujące polecenia: config log syslogd setting/n set status enable/nset format cef/nset port 514/nset server <ip_address_of_Receiver>/nend
iboss
Ustaw konsolę zagrożeń, aby wysyłać komunikaty dziennika systemowego w formacie CEF do obszaru roboczego platformy Azure. Zanotuj identyfikator obszaru roboczego i klucz podstawowy w obszarze roboczym usługi Log Analytics. Wybierz obszar roboczy z menu Obszary robocze usługi Log Analytics w witrynie Azure Portal. Następnie wybierz pozycję Zarządzanie agentami w sekcji Ustawienia .
- Przejdź do obszaru Raportowanie i analiza w konsoli iboss.
- Wybierz pozycję Przekazywanie>dziennika do przodu z poziomu reportera.
- Wybierz pozycję Akcje>Dodaj usługę.
- Przełącz się do usługi Microsoft Sentinel jako typ usługi i wprowadź identyfikator/klucz podstawowy obszaru roboczego wraz z innymi kryteriami. Jeśli skonfigurowano dedykowany serwer proxy z systemem Linux, przełącz opcję Syslog jako typ usługi i skonfiguruj ustawienia, aby wskazywały dedykowaną maszynę serwera proxy z systemem Linux.
- Poczekaj od jednej do dwóch minut, aż konfiguracja zostanie ukończona.
- Wybierz usługę Microsoft Sentinel i sprawdź, czy stan konfiguracji usługi Microsoft Sentinel zakończył się pomyślnie. Jeśli skonfigurowano dedykowany serwer proxy z systemem Linux, możesz zweryfikować połączenie.
Illumio Core
Konfigurowanie formatu zdarzenia.
- W menu konsoli sieci Web PCE wybierz pozycję Ustawienia > ustawień zdarzeń, aby wyświetlić bieżące ustawienia.
- Wybierz pozycję Edytuj , aby zmienić ustawienia.
- Ustaw format zdarzenia na CEF.
- (Opcjonalnie) Skonfiguruj ważność zdarzenia i okres przechowywania.
Skonfiguruj przekazywanie zdarzeń do zewnętrznego serwera syslog.
- W menu konsoli sieci Web PCE wybierz pozycję Ustawienia>ustawień zdarzeń.
- Wybierz Dodaj.
- Wybierz pozycję Dodaj repozytorium.
- Ukończ okno dialogowe Dodawanie repozytorium.
- Wybierz przycisk OK , aby zapisać konfigurację przekazywania zdarzeń.
Illusive Platform
Ustaw rozwiązanie zabezpieczeń, aby wysyłać komunikaty dziennika systemowego w formacie CEF do maszyny proxy. Upewnij się, że dzienniki są wysyłane do portu 514 TCP na adres IP maszyny.
Zaloguj się do konsoli Illusive i przejdź do pozycji Raportowanie ustawień>.
Znajdź serwery dziennika systemowego.
Wprowadź następujące informacje:
- Nazwa hosta: adres IP agenta syslog systemu Linux lub nazwa hosta FQDN
- Port: 514
- Protokół: TCP
- Komunikaty inspekcji: wysyłanie komunikatów inspekcji do serwera
Aby dodać serwer syslog, wybierz pozycję Dodaj.
Aby uzyskać więcej informacji na temat dodawania nowego serwera syslog na platformie Illusive, zobacz Illusive Networks Admin Guide w tym miejscu: https://support.illusivenetworks.com/hc/en-us/sections/360002292119-Documentation-by-Version
Imperva Brama zapory aplikacji internetowej
Ten łącznik wymaga utworzenia interfejsu akcji i zestawu akcji w imperva SecureSphere MX. Wykonaj kroki , aby utworzyć wymagania.
- Utwórz nowy interfejs akcji zawierający wymagane parametry wysyłania alertów zapory aplikacji internetowej do usługi Microsoft Sentinel.
- Utwórz nowy zestaw akcji, który używa skonfigurowanego interfejsu akcji.
- Zastosuj zestaw akcji do wszystkich zasad zabezpieczeń, które mają być wysyłane do usługi Microsoft Sentinel.
Łącznik danych w chmurze infoblox
Wykonaj poniższe kroki, aby skonfigurować centrum CDC systemu Infoblox w celu wysyłania danych bloxOne do usługi Microsoft Sentinel za pośrednictwem agenta dziennika systemowego systemu Linux.
- Przejdź do obszaru Zarządzanie łącznikiem> danych.
- Wybierz kartę Konfiguracja docelowa u góry.
- Wybierz pozycję Utwórz > dziennik systemowy.
- Nazwa: nadaj nowej lokalizacji docelowej zrozumiałą nazwę, taką jak Microsoft-Sentinel-Destination.
- Opis: opcjonalnie podaj opis opisowy.
- Stan: ustaw stan na Włączone.
- Format: ustaw format na CEF.
- Nazwa FQDN/ip: wprowadź adres IP urządzenia z systemem Linux, na którym zainstalowano agenta systemu Linux.
- Port: pozostaw numer portu na 514.
- Protokół: wybierz żądany protokół i certyfikat urzędu certyfikacji, jeśli ma to zastosowanie.
- Zaznacz Zapisz i zamknij.
- Wybierz kartę Konfiguracja przepływu ruchu u góry.
- Wybierz pozycję Utwórz.
- Nazwa: nadaj nowemu przepływowi ruchu zrozumiałą nazwę, taką jak Microsoft-Sentinel-Flow.
- Opis: opcjonalnie podaj opis opisowy.
- Stan: ustaw stan na Włączone.
- Rozwiń sekcję Wystąpienie usługi.
- Wystąpienie usługi: wybierz żądane wystąpienie usługi, dla którego włączono usługę Łącznik danych.
- Rozwiń sekcję Konfiguracja źródła.
- Źródło: wybierz pozycję Źródło chmury BloxOne.
- Wybierz wszystkie żądane typy dzienników , które chcesz zebrać. Obecnie obsługiwane typy dzienników to:
- Dziennik zapytań/odpowiedzi usługi Threat Defense
- Dziennik kanałów zagrożeń usługi Threat Defense
- Dziennik zapytań/odpowiedzi DDI
- Dziennik dzierżawy DHCP DDI
- Rozwiń sekcję Konfiguracja docelowa.
- Wybierz utworzoną lokalizację docelową.
- Zaznacz Zapisz i zamknij.
- Poczekaj na aktywowanie konfiguracji.
Infoblox SOC Insights
Wykonaj poniższe kroki, aby skonfigurować centrum CDC systemu Infoblox w celu wysyłania danych bloxOne do usługi Microsoft Sentinel za pośrednictwem agenta dziennika systemowego systemu Linux.
- Przejdź do obszaru Zarządzanie łącznikiem >danych.
- Wybierz kartę Konfiguracja docelowa u góry.
- Wybierz pozycję Utwórz > dziennik systemowy.
- Nazwa: nadaj nowej lokalizacji docelowej zrozumiałą nazwę, taką jak Microsoft-Sentinel-Destination.
- Opis: opcjonalnie podaj opis opisowy.
- Stan: ustaw stan na Włączone.
- Format: ustaw format na CEF.
- Nazwa FQDN/ip: wprowadź adres IP urządzenia z systemem Linux, na którym zainstalowano agenta systemu Linux.
- Port: pozostaw numer portu na 514.
- Protokół: wybierz żądany protokół i certyfikat urzędu certyfikacji, jeśli ma to zastosowanie.
- Zaznacz Zapisz i zamknij.
- Wybierz kartę Konfiguracja przepływu ruchu u góry.
- Wybierz pozycję Utwórz.
- Nazwa: nadaj nowemu przepływowi ruchu zrozumiałą nazwę, taką jak Microsoft-Sentinel-Flow.
- Opis: opcjonalnie podaj opis opisowy.
- Stan: ustaw stan na Włączone.
- Rozwiń sekcję Wystąpienie usługi.
- Wystąpienie usługi: wybierz żądane wystąpienie usługi, dla którego włączono usługę łącznika danych.
- Rozwiń sekcję Konfiguracja źródła.
- Źródło: wybierz pozycję Źródło chmury BloxOne.
- Wybierz typ dziennika Powiadomień wewnętrznych.
- Rozwiń sekcję Konfiguracja docelowa.
- Wybierz utworzoną lokalizację docelową.
- Zaznacz Zapisz i zamknij.
- Poczekaj na aktywowanie konfiguracji.
KasperskySecurityCenter
Postępuj zgodnie z instrukcjami , aby skonfigurować eksport zdarzeń z Kaspersky Security Center.
Morphisec
Ustaw rozwiązanie zabezpieczeń, aby wysyłać komunikaty dziennika systemowego w formacie CEF do maszyny proxy. Upewnij się, że dzienniki są wysyłane do portu 514 TCP na adres IP maszyny.
Netwrix Audytor
Postępuj zgodnie z instrukcjami , aby skonfigurować eksport zdarzeń z Netwrix Auditor.
NozomiNetworks
Wykonaj następujące kroki, aby skonfigurować urządzenie Nozomi Networks do wysyłania alertów, inspekcji i dzienników kondycji za pośrednictwem dziennika systemowego w formacie CEF:
- Zaloguj się do konsoli Guardian.
- Przejdź do obszaru Administracja> Integracja danych.
- Wybierz pozycję +Dodaj.
- Wybierz z listy rozwijanej pozycję Common Event Format (CEF).
- Utwórz nowy punkt końcowy przy użyciu odpowiednich informacji o hoście.
- Włącz alerty, dzienniki inspekcji i dzienniki kondycji na potrzeby wysyłania.
Platforma onapsis
Zapoznaj się z pomocą dotyczącą dołączania w produkcie, aby skonfigurować przekazywanie dzienników do agenta dziennika systemowego.
Przejdź do sekcji Konfigurowanie>integracji innych firm Bronij alarmów> i postępuj zgodnie z instrukcjami dotyczącymi usługi Microsoft Sentinel.
Upewnij się, że konsola onapsis może nawiązać dostęp do maszyny serwera proxy, na której zainstalowano agenta. Dzienniki powinny być wysyłane do portu 514 przy użyciu protokołu TCP.
OSSEC
Wykonaj następujące kroki , aby skonfigurować wysyłanie alertów przez protokół OSSEC za pośrednictwem dziennika systemowego.
Palo Alto - XDR (Cortex)
Skonfiguruj aplikację Palo Alto XDR (Cortex) do przekazywania komunikatów w formacie CEF do obszaru roboczego usługi Microsoft Sentinel za pośrednictwem agenta dziennika systemowego.
- Przejdź do pozycji Ustawienia i konfiguracje cortex.
- Wybierz pozycję , aby dodać nowy serwer w obszarze Aplikacje zewnętrzne.
- Następnie określ nazwę i nadaj publiczny adres IP serwera syslog w polu Miejsce docelowe.
- Podaj numer portu jako 514.
- W polu Obiekt wybierz pozycję FAC_SYSLOG z listy rozwijanej.
- Wybierz pozycję Protokół jako UDP.
- Wybierz pozycję Utwórz.
PaloAlto-PAN-OS
Skonfiguruj aplikację Palo Alto Networks, aby przekazywać komunikaty dziennika systemowego w formacie CEF do obszaru roboczego usługi Microsoft Sentinel za pośrednictwem agenta dziennika systemowego.
Przejdź do konfigurowania aplikacji Palo Alto Networks NGFW na potrzeby wysyłania zdarzeń CEF.
Przejdź do pozycji Palo Alto CEF Configuration i Palo Alto Configure Syslog Monitoring steps 2, 3, wybierz swoją wersję i postępuj zgodnie z instrukcjami, korzystając z następujących wskazówek:
- Ustaw format serwera Syslog na BSD.
- Skopiuj tekst do edytora i usuń wszelkie znaki, które mogą spowodować przerwanie formatu dziennika przed wklejaniem go. Operacje kopiowania/wklejania z pliku PDF mogą zmieniać tekst i wstawiać losowe znaki.
PaloAltoCDL
Postępuj zgodnie z instrukcjami , aby skonfigurować przekazywanie dzienników z usługi Cortex Data Lake do serwera syslog.
PingFederate
Wykonaj następujące kroki , aby skonfigurować polecenie PingFederate wysyłający dziennik inspekcji za pośrednictwem dziennika systemowego w formacie CEF.
RidgeSecurity
Skonfiguruj narzędzie RidgeBot, aby przekazywać zdarzenia do serwera syslog zgodnie z opisem w tym miejscu. Wygeneruj zdarzenia ataku dla aplikacji.
Zapora SonicWall
Ustaw zaporę SonicWall tak, aby wysyłała komunikaty dziennika systemowego w formacie CEF do maszyny proxy. Upewnij się, że dzienniki są wysyłane do portu 514 TCP na adresIE IP maszyny.
Postępuj zgodnie z instrukcjami. Następnie upewnij się, że wybrano opcję lokalnego użycia 4 jako obiektu. Następnie wybierz pozycję ArcSight jako format dziennika systemowego.
Trend Micro Apex One
Wykonaj następujące kroki , aby skonfigurować usługę Apex Central wysyłającą alerty za pośrednictwem dziennika systemowego. Podczas konfigurowania w kroku 6 wybierz format dziennika CEF.
Trend Micro Deep Security
Ustaw rozwiązanie zabezpieczeń, aby wysyłać komunikaty dziennika systemowego w formacie CEF do maszyny proxy. Pamiętaj, aby wysłać dzienniki do portu 514 TCP na adres IP maszyny.
- Przekazywanie zdarzeń usługi Trend Micro Deep Security do agenta dziennika systemowego.
- Zdefiniuj nową konfigurację dziennika systemowego korzystającą z formatu CEF, odwołując się do tego artykułu merytorycznego, aby uzyskać dodatkowe informacje.
- Skonfiguruj Menedżera zabezpieczeń zaawansowanej, aby używać tej nowej konfiguracji do przekazywania zdarzeń do agenta dziennika systemowego, korzystając z tych instrukcji.
- Pamiętaj, aby zapisać funkcję TrendMicroDeepSecurity , aby prawidłowo wysyłała zapytania do danych usługi Trend Micro Deep Security.
Trend Micro TippingPoint
Ustaw program TippingPoint SMS, aby wysyłać komunikaty dziennika systemowego w formacie CEF usługi ArcSight w wersji 4.2 na maszynę proxy. Upewnij się, że dzienniki są wysyłane do portu 514 TCP na adres IP maszyny.
vArmour Application Controller
Wysyłanie komunikatów dziennika systemowego w formacie CEF do maszyny proxy. Upewnij się, że dzienniki są wysyłane do portu 514 TCP na adres IP maszyny.
Pobierz podręcznik użytkownika z witryny https://support.varmour.com/hc/en-us/articles/360057444831-vArmour-Application-Controller-6-0-User-Guide. W przewodniku użytkownika zapoznaj się z tematem "Konfigurowanie dziennika systemowego pod kątem monitorowania i naruszeń" i wykonaj kroki od 1 do 3.
Wykrywanie sztucznej inteligencji Vectra
Skonfiguruj agenta Vectra (X Series) do przekazywania komunikatów dziennika systemowego w formacie CEF do obszaru roboczego usługi Microsoft Sentinel za pośrednictwem agenta dziennika systemowego.
W interfejsie użytkownika Vectra przejdź do pozycji Powiadomienia o ustawieniach > i Edytuj konfigurację dziennika systemowego. Postępuj zgodnie z poniższymi instrukcjami, aby skonfigurować połączenie:
- Dodaj nowe miejsce docelowe (czyli hosta, na którym działa agent syslog usługi Microsoft Sentinel).
- Ustaw port jako 514.
- Ustaw wartość Protokół jako UDP.
- Ustaw format na CEF.
- Ustaw typy dzienników. Wybierz wszystkie dostępne typy dzienników.
- Wybierz pozycję Zapisz.
- Wybierz przycisk Testuj, aby wysłać niektóre zdarzenia testowe.
Aby uzyskać więcej informacji, zobacz Przewodnik po wykryciu dziennika systemowego cognito, który można pobrać ze strony zasobu w temacie Detect UI (Wykrywanie interfejsu użytkownika).
Votiro
Ustaw pozycję Punkty końcowe Votiro w celu wysyłania komunikatów dziennika systemowego w formacie CEF do maszyny usługi przesyłania dalej. Upewnij się, że dzienniki są wysyłane do portu 514 TCP na adres IP maszyny usługi przesyłania dalej.
WireX Network Forensics Platform
Skontaktuj się z pomocą techniczną WireX (https://wirexsystems.com/contact-us/) w celu skonfigurowania rozwiązania NFP w celu wysyłania komunikatów dziennika systemowego w formacie CEF do maszyny proxy. Upewnij się, że menedżer centralny może wysyłać dzienniki do portu 514 TCP na adres IP maszyny.
WithSecure Elements via Connector
Połącz urządzenie WithSecure Elements Connector z usługą Microsoft Sentinel. Łącznik danych WithSecure Elements Connector umożliwia łatwe łączenie dzienników withSecure Elements z usługą Microsoft Sentinel w celu wyświetlania pulpitów nawigacyjnych, tworzenia alertów niestandardowych i ulepszania badania.
Uwaga
Dane są przechowywane w lokalizacji geograficznej obszaru roboczego, w którym jest uruchomiona usługa Microsoft Sentinel.
Skonfiguruj za pomocą łącznika Secure Elements w celu przekazywania komunikatów dziennika systemowego w formacie CEF do obszaru roboczego usługi Log Analytics za pośrednictwem agenta dziennika systemowego.
- Wybierz lub utwórz maszynę z systemem Linux dla usługi Microsoft Sentinel, która będzie używana jako serwer proxy między rozwiązaniem WithSecurity i usługą Microsoft Sentinel. Maszyna może być środowiskiem lokalnym, platformą Microsoft Azure lub innym środowiskiem opartym na chmurze. System Linux musi być
syslog-ng
zainstalowany ipython
/python3
zainstalowany. - Zainstaluj agenta monitorowania platformy Azure (AMA) na maszynie z systemem Linux i skonfiguruj maszynę do nasłuchiwania na wymaganym porcie i przekazywania komunikatów do obszaru roboczego usługi Microsoft Sentinel. Moduł zbierający CEF zbiera komunikaty CEF na porcie 514 TCP. Musisz mieć uprawnienia z podwyższonym poziomem uprawnień (sudo) na maszynie.
- Przejdź do strony EPP w portalu WithSecure Elements. Następnie przejdź do pozycji Pobrane. W sekcji Łącznik elementów wybierz pozycję Utwórz klucz subskrypcji. Klucz subskrypcji można sprawdzić w obszarze Subskrypcje.
- W sekcji Pliki do pobrania w łączniku WithSecure Elements Wybierz prawidłowy instalator i pobierz go.
- W witrynie EPP otwórz ustawienia konta w prawym górnym rogu. Następnie wybierz pozycję Pobierz klucz interfejsu API zarządzania. Jeśli klucz został utworzony wcześniej, można go również odczytać.
- Aby zainstalować łącznik Elementów, postępuj zgodnie z instrukcjami Łącznik elementów Docs.
- Jeśli dostęp do interfejsu API nie jest skonfigurowany podczas instalacji, postępuj zgodnie z instrukcjami Konfigurowanie dostępu interfejsu API dla łącznika elementów.
- Przejdź do pozycji EPP, a następnie pozycję Profile, a następnie użyj pozycji Dla łącznika , z której można wyświetlić profile łączników. Utwórz nowy profil (lub edytuj istniejący profil nie tylko do odczytu). W obszarze Przekazywanie zdarzeń włącz je. Ustaw adres systemowy SIEM: 127.0.0.1:514. Ustaw format na Common Event Format. Protokół to TCP. Zapisz profil i przypisz go do łącznika Elementów na karcie Urządzenia .
- Aby użyć odpowiedniego schematu w usłudze Log Analytics dla łącznika WithSecure Elements Connector, wyszukaj ciąg CommonSecurityLog.
- Kontynuuj walidację łączności CEF.
Zscaler
Ustaw produkt Zscaler, aby wysyłać komunikaty dziennika systemowego w formacie CEF do agenta dziennika systemowego. Upewnij się, że dzienniki są wysyłane na porcie 514 TCP.
Aby uzyskać więcej informacji, zobacz Przewodnik integracji rozwiązania Zscaler Microsoft Sentinel.