Compartilhar via


Conector de dados do CEF por AMA – Configurar dispositivo ou dispositivo específico para ingestão de dados do Microsoft Sentinel

A coleta de logs de muitos dispositivos e dispositivos de segurança é compatível com o CEF (Common Event Format) por meio do conector de dados AMA no Microsoft Sentinel. Este artigo lista as instruções de instalação fornecidas pelo provedor para dispositivos e dispositivos de segurança específicos que usam esse conector de dados. Entre em contato com o provedor para obter atualizações, mais informações ou quando as informações não estiverem disponíveis para seu dispositivo ou dispositivo de segurança.

Para ingerir dados no workspace do Log Analytics para o Microsoft Sentinel, conclua as etapas em Ingerir mensagens syslog e CEF no Microsoft Sentinel com o Agente do Azure Monitor. Essas etapas incluem a instalação do CEF (Formato de Evento Comum) por meio do conector de dados AMA no Microsoft Sentinel. Depois que o conector for instalado, use as instruções apropriadas para o seu dispositivo, mostradas posteriormente neste artigo, para concluir a configuração.

Para obter mais informações sobre a solução do Microsoft Sentinel relacionada para cada um desses dispositivos ou dispositivos, pesquise no Azure Marketplace os Modelos de Solução de Tipo>de Produto ou examine a solução no hub de conteúdo no Microsoft Sentinel.

Importante

O Microsoft Sentinel já está em disponibilidade geral na plataforma de operações de segurança unificada da Microsoft no portal do Microsoft Defender. Para a versão prévia, o Microsoft Sentinel está disponível no portal do Defender sem uma licença do E5 ou o Microsoft Defender XDR. Para saber mais, confira Microsoft Sentinel no portal do Microsoft Defender.

AI Analyst Darktrace

Configure o Darktrace para encaminhar mensagens de syslog no formato CEF para o workspace do Azure por meio do agente de syslog.

  1. No Darktrace Threat Visualizer, navegue até a página Configurações do sistema no menu principal em Administrador.
  2. No menu à esquerda, selecione Módulos e escolha Microsoft Sentinel nas Integrações de Fluxo de Trabalho disponíveis.
  3. Localize o CEF do syslog do Microsoft Sentinel e selecione Novo para revelar as definições de configuração, a menos que já estejam expostas.
  4. No campo Configurações do servidor, insira a localização do encaminhador de log e, como opção, modifique a porta de comunicação. Verifique se a porta selecionada está definida como 514 e se ela é permitida por qualquer firewall intermediário.
  5. Configure quaisquer limites de alerta, deslocamentos de tempo ou outras configurações conforme necessário.
  6. Revise todas as outras opções de configuração que você deseja ativar que alteram a sintaxe do syslog.
  7. Habilite a opção Enviar alertas e salve as alterações.

Akamai Security Events

Siga estas etapas para configurar o conector CEF da Akamai para enviar mensagens syslog no formato CEF para a máquina proxy. Envie os logs para a porta TCP 514 no endereço IP do computador.

AristaAwakeSecurity

Conclua as etapas a seguir para encaminhar os resultados da correspondência do Modelo Contraditório Acordado para um coletor CEF que escuta na porta TCP 514 no IP 192.168.0.1:

  1. Navegue até a página Habilidades de Gerenciamento de Detecção na interface do usuário do Awake.
  2. Selecione + Adicionar nova habilidade.
  3. Defina Expressão como integrations.cef.tcp { destination: "192.168.0.1", port: 514, secure: false, severity: Warning }
  4. Defina Título como um nome descritivo como Encaminhar Acordado Resultado da correspondência do Modelo Adversário para Microsoft Sentinel.
  5. Defina o Identificador de Referência como algo facilmente detectável, como integrations.cef.sentinel-forwarder.
  6. Selecione Salvar.

Alguns minutos após salvar a definição e outros campos, o sistema começa a enviar novos resultados de correspondência de modelo para o coletor de eventos CEF à medida que são detectados.

Para obter mais informações, consulte a página Adicionando uma integração push de gerenciamento de eventos e informações de segurança na documentação de ajuda na interface do usuário do Awake.

Aruba ClearPass

Configure o Aruba ClearPass para encaminhar mensagens syslog no formato CEF para o workspace do Microsoft Sentinel por meio do agente syslog.

  1. Siga estas instruções para configurar o Aruba ClearPass para encaminhar o Syslog.
  2. Use o endereço IP ou o nome do host para o dispositivo Linux com o agente Linux instalado como o endereço IP de destino.

WAF do Barracuda

O Firewall de Aplicativo Web Barracuda pode se integrar e exportar logs diretamente para o Microsoft Sentinel por meio do AMA (Agente de Monitoramento do Azure).

  1. Vá para a configuração do Barracuda WAF e siga as instruções, usando os parâmetros a seguir para configurar a conexão.

  2. Recurso de logs do Firewall da Web: Vá para as configurações avançadas do seu espaço de trabalho e nas guias Syslog de dados>. Certifique-se de que a instalação existe.

Observe que os dados de todas as regiões são armazenados no espaço de trabalho selecionado.

Broadcom SymantecDLP

Configure o Symantec DLP para encaminhar mensagens syslog no formato CEF para o workspace do Microsoft Sentinel por meio do agente syslog.

  1. Siga estas instruções para configurar o Symantec DLP para encaminhar o syslog
  2. Use o endereço IP ou o nome do host para o dispositivo Linux com o agente Linux instalado como o endereço IP de destino.

Cisco Firepower EStreamer

Instale e configure o cliente Firepower eNcore eStreamer. Para obter mais informações, consulte o guia de instalação completo.

CiscoSEG

Conclua as etapas a seguir para configurar o Cisco Secure Email Gateway para encaminhar logs via syslog:

  1. Configurar assinatura de log.
  2. Selecione Logs de eventos consolidados no campo Tipo de log.

Citrix Web App Firewall

Configure o Citrix WAF para enviar mensagens syslog no formato CEF para a máquina proxy.

  • Encontre guias para configurar logs WAF e CEF no Citrix Support.

  • Siga este guia para encaminhar os logs para o proxy. Certifique-se de enviar os logs para a porta 514 TCP no endereço IP do computador Linux.

Claroty

Configure o encaminhamento de log usando CEF.

  1. Vá para a seção Syslog do menu Configuração.
  2. Selecione +Adicionar.
  3. Na caixa de diálogo Adicionar novo syslog, especifique IP do servidor remoto, porta, protocolo.
  4. Selecione Formato de Mensagem - CEF.
  5. Escolha Salvar para sair da caixa de diálogo Adicionar Syslog.

Contrast Protect

Configure o agente do Contrast Protect para encaminhar eventos ao syslog, conforme descrito aqui: https://docs.contrastsecurity.com/en/output-to-syslog.html. Gere alguns eventos de ataque para o aplicativo.

Falcão CrowdStrike

Implante o CrowdStrike Falcon SIEM Collector para encaminhar mensagens syslog no formato CEF para o workspace do Microsoft Sentinel por meio do agente syslog.

  1. Siga estas instruções para implantar o SIEM Collector e encaminhar o syslog.
  2. Use o endereço IP ou o nome do host para o dispositivo Linux com o agente Linux instalado como o Endereço IP de Destino.

CyberArk Enterprise Password Vault (EPV) Events

No EPV, configure o dbparm.ini para enviar mensagens syslog no formato CEF para o computador proxy. Envie os logs para a porta TCP 514 no endereço IP dos computadores.

Delinea Secret Server

Defina sua solução de segurança para enviar mensagens syslog no formato CEF para o computador proxy. Envie os logs para a porta TCP 514 no endereço IP do computador.

ExtraHop Reveal(x)

Defina sua solução de segurança para enviar mensagens syslog no formato CEF para o computador proxy. Envie os logs para a porta TCP 514 no endereço IP do computador.

  1. Siga as instruções para instalar o pacote do ExtraHop Detection SIEM Connector no sistema Reveal(x). O conector SIEM é necessário para essa integração.
  2. Habilite o gatilho para o Conector SIEM de Detecção ExtraHop - CEF.
  3. Atualize o gatilho com os destinos de syslog do ODS que você criou. 

O sistema Reveal(x) formata as mensagens do Syslog em CEF (Formato Comum de Evento) e envia dados ao Microsoft Sentinel.

Redes F5

Configure F5 para encaminhar mensagens syslog no formato CEF para o workspace do Microsoft Sentinel por meio do agente syslog.

Acesse Configurar o log de eventos de segurança de aplicativo do F5 e siga as instruções para configurar o log remoto com as seguintes diretrizes:

  1. Defina o tipo de armazenamento remoto como CEF.
  2. Defina a configuração Protocolo como UDP.
  3. Defina o endereço IP como o endereço IP do servidor syslog.
  4. Defina o número da porta como 514 ou a porta que seu agente usa.
  5. Defina o recurso como aquele que você configurou no agente syslog. Por padrão, o agente define esse valor como local4.
  6. Você pode definir o Tamanho Máximo da Cadeia de Caracteres de Consulta como o mesmo configurado.

Segurança de rede FireEye

Conclua as seguintes etapas para enviar dados usando o CEF:

  1. Faça login no dispositivo FireEye com uma conta de administrador.

  2. Selecione Configurações.

  3. Selecione Notificações. Selecione rsyslog.

  4. Marque a caixa de seleção Tipo de evento.

  5. Verifique se as configurações do Rsyslog são:

    • Formato padrão: CEF
    • Entrega padrão: por evento
    • Enviar como padrão: Alerta

Forcepoint CASB

Defina sua solução de segurança para enviar mensagens syslog no formato CEF para o computador proxy. Envie os logs para a porta TCP 514 no endereço IP do computador.

Forcepoint CSG

A integração é disponibilizada com duas opções de implementações:

  1. Usa imagens do docker em que o componente de integração já está instalado com todas as dependências necessárias. Siga as instruções fornecidas no Guia de integração.
  2. Requer a implantação manual do componente de integração dentro de um computador Linux limpo. Siga as instruções fornecidas no Guia de integração.

Forcepoint NGFW

Defina sua solução de segurança para enviar mensagens syslog no formato CEF para o computador proxy. Envie os logs para a porta TCP 514 no endereço IP do computador.

Auditoria comum ForgeRock para CEF

No ForgeRock, instale e configure esta Auditoria Comum (CAUD) para o Microsoft Sentinel de acordo com a documentação em https://github.com/javaservlets/SentinelAuditEventHandler. Em seguida, no Azure, siga as etapas para configurar o CEF por meio do conector de dados AMA.

Fortinet

Defina o Fortinet para enviar mensagens do Syslog no formato CEF ao computador proxy. Envie os logs para a porta TCP 514 no endereço IP do computador.

Copie os comandos da CLI abaixo e:

  • Substitua o "<endereço IP> do servidor" pelo endereço IP do agente do Syslog.
  • Defina o "<facility_name>" para usar o recurso configurado no agente do Syslog (por padrão, o agente define isso como local4).
  • Defina a porta Syslog como 514, a porta que seu agente usa.
  • Para habilitar o CEF nas versões iniciais do FortiOS, talvez seja necessário executar o conjunto de comando "desabilitar CSV".
    Para obter mais informações, vá para a Biblioteca de documentos do Fortinet, escolha sua versão e use os PDFs "Handbook" e "Log Message Reference".

Saiba mais >

Configure a conexão usando a CLI para executar os seguintes comandos: config log syslogd setting/n set status enable/nset format cef/nset port 514/nset server <ip_address_of_Receiver>/nend

iboss

Defina o Console de Ameaças para enviar mensagens de syslog no formato CEF para o workspace do Azure. Anote a ID do workspace e a chave primária no workspace do Log Analytics. Selecione o workspace no menu Workspace do Log Analytics no portal do Azure. Em seguida, selecione Gerenciamento de agentes na seção Configurações.

  1. Navegue até Reporting & Analytics dentro do seu iboss Console.
  2. Selecione Encaminhamento de>log do repórter.
  3. Selecione Ações>Adicionar serviço.
  4. Alterne para o Microsoft Sentinel como um tipo de serviço e insira sua ID do workspace/chave primária junto com outros critérios. Se uma máquina Linux proxy dedicada tiver sido configurada, alterne para Syslog como um tipo de serviço e defina as configurações para apontar para sua máquina Linux proxy dedicada.
  5. Aguarde de um a dois minutos para que a configuração seja concluída.
  6. Selecione o serviço do Microsoft Sentinel e verifique se o status de instalação do Microsoft Sentinel foi bem-sucedido. Se uma máquina Linux proxy dedicada estiver configurada, você poderá validar sua conexão.

Illumio Core

Configure o formato do evento.

  1. No menu do console Web do PCE, escolha Configurações > Configurações do evento para exibir suas configurações atuais.
  2. Selecione Editar para alterar as configurações.
  3. Defina o Formato de evento como CEF.
  4. (Opcional) Configurar a Severidade do evento e o Período de retenção.

Configure o encaminhamento de eventos para um servidor syslog externo.

  1. No menu do console da Web do PCE, escolha Configurações>Configurações de eventos.
  2. Selecione Adicionar.
  3. Selecione Adicionar repositório.
  4. Preencha a caixa de diálogo Adicionar repositório.
  5. Selecione OK para salvar a configuração de encaminhamento de eventos.

Illusive Platform

  1. Defina sua solução de segurança para enviar mensagens syslog no formato CEF para o computador proxy. Envie os logs para a porta TCP 514 no endereço IP do computador.

  2. Entre no Console Ilusório e navegue até Relatórios de configurações>.

  3. Encontre servidores Syslog.

  4. Forneça as seguintes informações:

    • Nome do host: endereço IP do agente Syslog do Linux ou nome do host FQDN
    • Porto: 514
    • Protocolo: TCP
    • Mensagens de auditoria: enviar mensagens de auditoria para o servidor
  5. Para adicionar o servidor syslog, selecione Adicionar.

Para obter mais informações sobre como adicionar um novo servidor syslog na plataforma Illusive, encontre o Guia de administração do Illusive Networks aqui: https://support.illusivenetworks.com/hc/en-us/sections/360002292119-Documentation-by-Version

Imperva WAF Gateway

Esse conector requer que uma interface de ação e um conjunto de ações sejam criados no Imperva SecureSphere MX. Siga as etapas para criar os requisitos.

  1. Crie uma nova Interface de Ação que contenha os parâmetros necessários para enviar alertas do WAF ao Microsoft Sentinel.
  2. Crie um novo conjunto de ações que use a interface de ação configurada.
  3. Aplique o Conjunto de Ações a todas as políticas de segurança para as quais você deseja que alertas sejam enviados ao Microsoft Sentinel.

Infoblox Cloud Data Connector

Conclua as etapas a seguir para configurar o CDC do Infoblox para enviar dados do BloxOne para o Microsoft Sentinel por meio do agente syslog do Linux.

  1. Navegue até Gerenciar>Data Connector.
  2. Selecione a guia Configuração de destino na parte superior.
  3. Selecione Criar > Syslog.
    • Nome: dê ao novo Destino um nome significativo, como Microsoft-Sentinel-Destination.
    • Descrição: Opcionalmente, dê uma descrição significativa.
    • Estado: defina o estado como Habilitado.
    • Formato: defina o formato como CEF.
    • FQDN/IP: insira o endereço IP do dispositivo Linux no qual o agente Linux está instalado.
    • Porta: deixe o número da porta em 514.
    • Protocolo: selecione o protocolo desejado e o certificado AC, se aplicável.
    • Selecione Salvar e Fechar.
  4. Selecione a guia Configuração de fluxo de tráfego na parte superior.
  5. Selecione Criar.
    • Nome: dê ao novo fluxo de tráfego um nome significativo, como Microsoft-Sentinel-Flow.
    • Descrição: Opcionalmente, dê uma descrição significativa.
    • Estado: defina o estado como Habilitado.
    • Expanda a seção Instância de Serviço.
      • Instância de Serviço: selecione a Instância de Serviço desejada para a qual o serviço do Conector de Dados está habilitado.
    • Expanda a seção Configuração de origem.
      • Fonte: selecione BloxOne Cloud Source.
      • Selecione todos os tipos de log que você deseja coletar. Os tipos de log atualmente com suporte são:
        • Log de consulta/resposta de defesa contra ameaças
        • Log de ocorrências de feeds de ameaças da defesa contra ameaças
        • Log de consulta/resposta DDI
        • Log de concessão DHCP DDI
    • Expanda a seção Configuração de destino.
      • Selecione o Destino que você criou.
    • Selecione Salvar e Fechar.
  6. Permita que a configuração seja ativada por algum tempo.

Infoblox SOC Insights

Conclua as etapas a seguir para configurar o CDC do Infoblox para enviar dados do BloxOne para o Microsoft Sentinel por meio do agente syslog do Linux.

  1. Navegue até Gerenciar > Conector de dados.
  2. Selecione a guia Configuração de destino na parte superior.
  3. Selecione Criar > Syslog.
    • Nome: dê ao novo Destino um nome significativo, como Microsoft-Sentinel-Destination.
    • Descrição: Opcionalmente, dê uma descrição significativa.
    • Estado: defina o estado como Habilitado.
    • Formato: defina o formato como CEF.
    • FQDN/IP: insira o endereço IP do dispositivo Linux no qual o agente Linux está instalado.
    • Porta: deixe o número da porta em 514.
    • Protocolo: selecione o protocolo desejado e o certificado AC, se aplicável.
    • Selecione Salvar e Fechar.
  4. Selecione a guia Configuração de fluxo de tráfego na parte superior.
  5. Selecione Criar.
    • Nome: dê ao novo fluxo de tráfego um nome significativo, como Microsoft-Sentinel-Flow.
    • Descrição: opcionalmente, dê a ele uma descrição significativa.
    • Estado: defina o estado como Habilitado.
    • Expanda a seção Instância de Serviço.
      • Instância de serviço: selecione a instância de serviço desejada para a qual o serviço do conector de dados está habilitado.
    • Expanda a seção Configuração de origem.
      • Fonte: selecione BloxOne Cloud Source.
      • Selecione o tipo de log de notificações internas.
    • Expanda a seção Configuração de destino.
      • Selecione o Destino que você criou.
    • Selecione Salvar e Fechar.
  6. Permita que a configuração seja ativada por algum tempo.

KasperskySecurityCenter

Siga as instruções para configurar a exportação de eventos do Kaspersky Security Center.

Morphisec

Defina sua solução de segurança para enviar mensagens syslog no formato CEF para o computador proxy. Envie os logs para a porta TCP 514 no endereço IP do computador.

Netwrix Auditor

Siga as instruções para configurar a exportação de eventos do Netwrix Auditor.

NozomiNetworks

Conclua as etapas a seguir para configurar o dispositivo Nozomi Networks para enviar alertas, auditoria e logs de integridade via syslog no formato CEF:

  1. Faça login no console do Guardian.
  2. Navegue até Integração de dados de administração>.
  3. Selecione +Adicionar.
  4. Selecione o Formato de Evento Comum (CEF) na lista suspensa.
  5. Crie um novo ponto de extremidade usando as informações de host apropriadas.
  6. Habilite Alertas, Logs de Auditoria e Logs de Integridade para envio.

Onapsis Platform

Consulte a ajuda do produto Onapsis para configurar o encaminhamento de log para o agente syslog.

  1. Acesse Configurar>integrações de>terceiros, Defender Alarmes e siga as instruções para o Microsoft Sentinel.

  2. Certifique-se de que seu Console Onapsis possa acessar a máquina proxy em que o agente está instalado. Os logs devem ser enviados para a porta 514 usando TCP.

OSSEC

Siga estas etapas para configurar o OSSEC enviando alertas por meio do Syslog.

Palo Alto - XDR (córtex)

Configure o Palo Alto XDR (Cortex) para encaminhar mensagens no formato CEF para o workspace do Microsoft Sentinel por meio do agente syslog.

  1. Vá para Configurações e Configurações do Cortex.
  2. Selecione para adicionar Novo Servidor em Aplicativos Externos.
  3. Em seguida, especifique o nome e forneça o IP público do servidor syslog em Destino.
  4. Dê o número da porta como 514.
  5. No campo Instalação , selecione FAC_SYSLOG no menu suspenso.
  6. Selecione Protocolo como UDP.
  7. Selecione Criar.

PaloAlto-PAN-OS

Configure a Palo Alto Networks para encaminhar mensagens syslog no formato CEF para o workspace do Microsoft Sentinel por meio do agente syslog.

  1. Acesse configurar o Palo Alto Networks NGFW para enviar eventos CEF.

  2. Acesse Configuração do Palo Alto CEF e as etapas 2 e 3 de Configurar o monitoramento do Syslog do Palo Alto, escolha sua versão e siga as instruções com as seguintes diretrizes:

    1. Defina o formato do servidor Syslog como BSD.
    2. Copie o texto para um editor e remova todos os caracteres que possam quebrar o formato de log antes de colá-lo. As operações copiar/colar do PDF podem alterar o texto e inserir caracteres aleatórios.

Saiba mais

PaloAltoCDL

Siga as instruções para configurar o encaminhamento de logs do Cortex Data Lake para um servidor syslog.

PingFederate

Siga estas etapas para configurar o log de auditoria de envio do PingFederate através do syslog no formato CEF.

RidgeSecurity

Configure o RidgeBot para encaminhar eventos para o servidor syslog, conforme descrito aqui. Gere alguns eventos de ataque para o aplicativo.

Firewall do SonicWall

Configure o firewall da SonicWall para enviar mensagens syslog no formato CEF para a máquina proxy. Envie os logs para a porta TCP 514 no endereço IP do computador.

Siga as instruções. Depois, selecione o uso local 4 como a instalação. Em seguida, selecione ArcSight como o formato syslog.

Trend Micro Apex One

Siga estas etapas para configurar o Apex Central enviando alertas por meio do syslog. Durante a configuração, na etapa 6, selecione o formato de log CEF.

Deep Security da Trend Micro

Defina sua solução de segurança para enviar mensagens syslog no formato CEF para o computador proxy. Envie os logs para a porta TCP 514 no endereço IP do computador.

  1. Encaminhe eventos do Trend Micro Deep Security para o agente syslog.
  2. Defina uma nova configuração de syslog que use o formato CEF consultando este artigo de conhecimento para obter informações adicionais.
  3. Configure o Deep Security Manager para usar essa nova configuração para encaminhar eventos para o agente syslog usando estas instruções.
  4. Salve a função TrendMicroDeepSecurity para que ela consulte os dados da Trend Micro Deep Security corretamente.

Trend Micro TippingPoint

Defina o SMS do TippingPoint para enviar mensagens de syslog no formato ArcSight CEF Format v4.2 para a máquina proxy. Envie os logs para a porta TCP 514 no endereço IP do computador.

vArmour Application Controller

Envie mensagens de syslog no formato CEF para a máquina proxy. Envie os logs para a porta TCP 514 no endereço IP dos computadores.

Baixe o guia do usuário em https://support.varmour.com/hc/en-us/articles/360057444831-vArmour-Application-Controller-6-0-User-Guide. No guia do usuário, consulte "Configurando o Syslog para Monitoramento e Violações" e siga as etapas 1 a 3.

Vectra AI Detect

Configure o Agente Vectra (Série X) para encaminhar mensagens syslog no formato CEF para o workspace do Microsoft Sentinel por meio do agente syslog.

Na interface do usuário do Vectra, navegue até Configurações > Notificações e Editar configuração do syslog. Siga as instruções abaixo para configurar a conexão:

  1. Adicione um novo Destino (que é o host em que o agente syslog do Microsoft Sentinel está em execução).
  2. Defina a porta como 514.
  3. Defina o protocolo como UDP.
  4. Defina o formato como CEF.
  5. Defina os tipos de log. Selecione todos os tipos de log disponíveis.
  6. Selecione Salvar.
  7. Selecione o botão Testar para enviar alguns eventos de teste.

Para obter mais informações, confira o Guia de Syslog do Cognito Detect, que pode ser baixado na página de recursos na interface do usuário do Detect.

Votiro

Defina os Endpoints do Votiro para enviar mensagens syslog no formato CEF para a máquina do encaminhador. Certifique-se de enviar os logs para a porta 514 TCP no endereço IP da máquina do encaminhador.

Plataforma Forense da Rede da WireX

Entre em contato com o suporte da WireX (https://wirexsystems.com/contact-us/) para configurar sua solução NFP para enviar mensagens syslog no formato CEF para a máquina proxy. Verifique se o gerenciador central pode enviar os logs para o TCP da porta 514 no endereço IP do computador.

WithSecure Elements via Connector

Conecte seu dispositivo WithSecure Elements Connector ao Microsoft Sentinel. O conector de dados do Conector do WithSecure Elements permite que você conecte facilmente seus logs do WithSecure Elements ao Microsoft Sentinel para exibir painéis, criar alertas personalizados e melhorar a investigação.

Observação

Os dados serão armazenados na localização geográfica do espaço de trabalho no qual você está executando o Microsoft Sentinel.

Configure com o Secure Elements Connector para encaminhar mensagens syslog no formato CEF para o workspace do Log Analytics por meio do agente syslog.

  1. Selecione ou crie um computador Linux para o Microsoft Sentinel usar como proxy entre sua solução WithSecurity e o Microsoft Sentinel. A máquina pode ser um ambiente local, Microsoft Azure ou outro ambiente baseado em nuvem. O Linux precisa ter syslog-ng e python/python3 instalados.
  2. Instale o AMA (Agente de Monitoramento do Azure) em seu computador Linux e configure o computador para escutar na porta necessária e encaminhar mensagens para seu workspace do Microsoft Sentinel. O coletor CEF coleta mensagens CEF na porta 514 TCP. Você deve ter permissões elevadas (sudo) no computador.
  3. Acesse o EPP no Portal WithSecure Elements. Em seguida, navegue até Downloads. Na seção Conector do Elements , selecione Criar chave de assinatura. Você pode verificar sua chave de assinatura em Assinaturas.
  4. Na seção Downloads no WithSecure Elements Connector , selecione o instalador correto e baixe-o.
  5. Quando estiver no EPP, abra as configurações da conta no canto superior direito. Em seguida, selecione Obter chave de API de gerenciamento. Se a chave foi criada anteriormente, ela também pode ser lida lá.
  6. Para instalar o Elements Connector, siga os documentos do Elements Connector.
  7. Se o acesso à API não estiver configurado durante a instalação, siga Configurando o acesso à API para o Elements Connector.
  8. Vá para EPP, depois Perfis e use Para o conector , de onde você pode ver os perfis do conector. Crie um novo perfil (ou edite um perfil que não seja somente leitura). Em Encaminhamento de eventos, habilite-o. Defina o endereço do sistema SIEM: 127.0.0.1:514. Defina o formato como Formato comum de evento. O protocolo é TCP. Salve o perfil e atribua-o ao Conector de elementos na guia Dispositivos .
  9. Para usar o esquema relevante no Log Analytics para o Conector de Elementos WithSecure, pesquise CommonSecurityLog.
  10. Continue validando sua conectividade CEF.

Zscaler

Defina o produto Zscaler para enviar mensagens syslog no formato CEF para o seu agente syslog. Certifique-se de enviar os logs na porta 514 TCP.

Para obter mais informações, consulte o guia de integração do Microsoft Sentinel do Zscaler.