Compartilhar via


Conector de dados do Syslog via AMA – Configurar dispositivo ou dispositivo específico para ingestão de dados do Microsoft Sentinel

A coleta de logs de muitos dispositivos e dispositivos de segurança é compatível com o Syslog por meio do conector de dados AMA no Microsoft Sentinel. Este artigo lista as instruções de instalação fornecidas pelo provedor para dispositivos e dispositivos de segurança específicos que usam esse conector de dados. Entre em contato com o provedor para obter atualizações, mais informações ou quando as informações não estiverem disponíveis para seu dispositivo ou dispositivo de segurança.

Para encaminhar dados para o workspace do Log Analytics para o Microsoft Sentinel, conclua as etapas em Ingerir mensagens syslog e CEF no Microsoft Sentinel com o Agente do Azure Monitor. Ao concluir essas etapas, instale o Syslog por meio do conector de dados AMA no Microsoft Sentinel. Em seguida, use as instruções apropriadas do provedor neste artigo para concluir a configuração.

Para obter mais informações sobre a solução do Microsoft Sentinel relacionada para cada um desses dispositivos ou dispositivos, pesquise no Azure Marketplace os Modelos de Solução de Tipo>de Produto ou examine a solução no hub de conteúdo no Microsoft Sentinel.

Firewall do Barracuda CloudGen

Siga as instruções para configurar o streaming do syslog. Use o endereço IP ou o nome do host para o computador Linux com o agente do Microsoft Sentinel instalado para o endereço IP de destino.

Blackberry CylancePROTECT

Siga estas instruções para configurar o CylancePROTECT para encaminhar o syslog. Use o endereço IP ou o nome do host para o dispositivo Linux com o agente Linux instalado como o endereço IP de destino.

Infraestrutura centrada em aplicativos (ACI) da Cisco

Configure o sistema Cisco ACI para enviar logs via syslog para o servidor remoto onde você instala o agente. Siga estas etapas para configurar o destino do Syslog, o grupo de destino e a origem do Syslog.

Esse conector de dados foi desenvolvido usando o Cisco ACI versão 1.x.

Cisco Identity Services Engine (ISE)

Siga estas instruções para configurar os locais remotos de coleta do syslog na sua implantação do Cisco ISE.

Cisco Stealthwatch

Conclua as etapas de configuração a seguir para obter os logs do Cisco Stealthwatch no Microsoft Sentinel.

  1. Entre no Stealthwatch Management Console (SMC) como administrador.

  2. Na barra de menus, selecione Gerenciamento de resposta de configuração>.

  3. Na seção Ações no menu Gerenciamento de Respostas, selecione Adicionar > Mensagem de Syslog.

  4. Na janela Adicionar Ação de Mensagem de Syslog, configure os parâmetros.

  5. Insira o seguinte formato personalizado:

    |Lancope|Stealthwatch|7.3|{alarm_type_id}|0x7C|src={source_ip}|dst={target_ip}|dstPort={port}|proto={protocol}|msg={alarm_type_description}|fullmessage={details}|start={start_active_time}|end={end_active_time}|cat={alarm_category_name}|alarmID={alarm_id}|sourceHG={source_host_group_names}|targetHG={target_host_group_names}|sourceHostSnapshot={source_url}|targetHostSnapshot={target_url}|flowCollectorName={device_name}|flowCollectorIP={device_ip}|domain={domain_name}|exporterName={exporter_hostname}|exporterIPAddress={exporter_ip}|exporterInfo={exporter_label}|targetUser={target_username}|targetHostname={target_hostname}|sourceUser={source_username}|alarmStatus={alarm_status}|alarmSev={alarm_severity_name}

  6. Selecione o formato personalizado na lista e OK.

  7. Selecione Regras de Gerenciamento de > Resposta.

  8. Selecione Adicionar e Hospedar Alarme.

  9. Forneça um nome de regra no campoNome.

  10. Crie regras selecionando valores nos menus Tipo e Opções . Para adicionar mais regras, selecione o ícone de reticências. Para um Host Alarm, combine o maior número possível de tipos possíveis em uma instrução.

Este conector de dados foi desenvolvido usando o Cisco Stealthwatch versão 7.3.2

Sistemas de computação unificada (UCS) da Cisco

Siga essas instruções para configurar o Cisco UCS para encaminhar o syslog. Use o endereço IP ou o nome do host para o dispositivo Linux com o agente Linux instalado como o endereço IP de destino.

Observação

A funcionalidade desse conector de dados depende de um analisador baseado em função Kusto, que é parte integrante de sua operação. Esse analisador é implantado como parte da instalação da solução.

Atualize o analisador e especifique o nome do host das máquinas de origem que transmitem os logs na primeira linha do analisador.

Para acessar o código da função no Log Analytics, navegue até a seção Logs do Log Analytics/Microsoft Sentinel, selecione Funções e pesquise o alias CiscoUCS. Como alternativa, carregue diretamente o código da função. Pode levar cerca de 15 minutos após a instalação para atualizar.

Cisco WSA (Web Security Appliance)

Configure a Cisco para encaminhar logs via syslog para o servidor remoto onde você instala o agente. Siga estas etapas para configurar o Cisco WSA para encaminhar logs via Syslog

Selecione Syslog Push como um método de recuperação.

Este conector de dados foi desenvolvido usando o AsyncOS 14.0 para o Cisco Web Security Appliance

ADC (Application Delivery Controller) Citrix

Configure o Citrix ADC (antigo NetScaler) para encaminhar logs via Syslog.

  1. Navegue até a guia > Configuração Guia Servidores Syslog > de Auditoria do > Sistema >
  2. Especifique o nome da ação do Syslog.
  3. Defina o endereço IP do servidor Syslog remoto e da porta.
  4. Defina o tipo de transporte como TCP ou UDP , dependendo da configuração do servidor syslog remoto.
  5. Para obter mais informações, consulte a documentação do Citrix ADC (antigo NetScaler).

Observação

A funcionalidade desse conector de dados depende de um analisador baseado em função Kusto, que é parte integrante de sua operação. Esse analisador é implantado como parte da instalação da solução. Para acessar o código da função no Log Analytics, navegue até a seção Logs do Log Analytics/Microsoft Sentinel, selecione Funções e pesquise o alias CitrixADCEvent. Como alternativa, você pode carregar diretamente o código da função. Pode levar cerca de 15 minutos após a instalação para atualizar.

Este analisador requer uma lista de páginas vigiadas chamada Sources_by_SourceType.

i. Se você ainda não tiver uma lista de observação criada, crie uma lista de observação do Microsoft Sentinel no portal do Azure.

ii. Abra a watchlist Sources_by_SourceType e adicione entradas para essa fonte de dados.

ii. O valor SourceType para CitrixADC é CitrixADC. Para obter mais informações, consulte Gerenciar analisadores do ASIM (Modelo Avançado de Informações de Segurança).

Digital Guardian Data Loss Prevention

Conclua as etapas a seguir para configurar o Digital Guardian para encaminhar logs via Syslog:

  1. Faça login no Console de Gerenciamento do Digital Guardian.
  2. Selecione Espaço de trabalho>Exportação de dados>Criar exportação.
  3. Na lista Fontes de dados, selecione Alertas ou Eventos como fonte de dados.
  4. Na lista Tipo de exportação, selecione Syslog.
  5. Na lista Tipo, selecione UDP ou TCP como o protocolo de transporte.
  6. No campo Servidor, digite o endereço IP do servidor syslog remoto.
  7. No campo Porta, digite 514 (ou outra porta se o servidor syslog tiver sido configurado para usar uma porta não padrão).
  8. Na lista Nível de severidade, selecione uma opção.
  9. Marque a caixa de seleção Está ativo.
  10. Selecione Avançar.
  11. Na lista de campos disponíveis, adicione campos Alerta ou Evento à exportação de dados.
  12. Selecione um Critério para os campos na exportação de dados e Avançar.
  13. Selecione um grupo para os critérios e Avançar.
  14. Selecione Testar Consulta.
  15. Selecione Avançar.
  16. Salve a exportação de dados.

Integração com o ESET Protect

Configure o ESET PROTECT para enviar todos os eventos por meio do Syslog.

  1. Siga estas instruções para configurar a saída do syslog. Selecione BSD como o formato e TCP como o transporte.
  2. Siga estas instruções para exportar todos os logs para o syslog. Selecione JSON como o formato de saída.

Análise Avançada do Exabeam

Siga estas instruções para enviar dados do log de atividades do Exabeam Advanced Analytics por meio do syslog.

Este conector de dados foi desenvolvido usando o Exabeam Advanced Analytics i54 (Syslog)

Forescout

Conclua as etapas a seguir para obter logs do Forescout no Microsoft Sentinel.

  1. Selecione um dispositivo a ser configurado.
  2. Siga estas instruções para encaminhar alertas da plataforma Forescout para um servidor syslog.
  3. Defina as configurações na guia Syslog Triggers .

Este conector de dados foi desenvolvido usando a versão do plug-in Forescout Syslog: v3.6

Gitlab

Siga estas instruções para enviar dados de log de auditoria do Gitlab via syslog.

ISC Bind

  1. Siga estas instruções para configurar o ISC Bind para encaminhar syslog: DNS Logs.
  2. Configure o syslog para enviar o tráfego syslog para o agente. Use o endereço IP ou o nome do host para o dispositivo Linux com o agente Linux instalado como o endereço IP de destino.

Sistema operacional de identidade de rede Infoblox (NIOS)

Siga estas instruções para habilitar o encaminhamento de syslog de Logs do Infoblox NIOS. Use o endereço IP ou o nome do host para o dispositivo Linux com o agente Linux instalado como o endereço IP de destino.

Observação

A funcionalidade desse conector de dados depende de um analisador baseado em função Kusto, que é parte integrante de sua operação. Esse analisador é implantado como parte da instalação da solução.

Para acessar o código da função no Log Analytics, navegue até a seção Logs do Log Analytics/Microsoft Sentinel, selecione Funções e pesquise o alias Infoblox. Como alternativa, você pode carregar diretamente o código da função. Pode levar cerca de 15 minutos após a instalação para atualizar.

Este analisador requer uma lista de páginas vigiadas chamada Sources_by_SourceType.

i. Se você ainda não tiver uma lista de observação criada, crie uma lista de observação do Microsoft Sentinel no portal do Azure.

ii. Abra a watchlist Sources_by_SourceType e adicione entradas para essa fonte de dados.

ii. O valor SourceType para InfobloxNIOS é InfobloxNIOS.

Para obter mais informações, consulte Gerenciar analisadores do ASIM (Modelo Avançado de Informações de Segurança).

Ivanti Unified Endpoint Management

Siga as instruções para configurar ações de alerta a fim de enviar logs para o servidor do syslog.

Este conector de dados foi desenvolvido usando o Ivanti Unified Endpoint Management versão 2021.1 versão 11.0.3.374

Juniper SRX

  1. Conclua as seguintes instruções para configurar o Juniper SRX para encaminhar o syslog:

  2. Use o endereço IP ou o nome do host para o dispositivo Linux com o agente Linux instalado como o endereço IP de destino.

Plataforma de Segurança de Rede McAfee

Conclua as etapas de configuração a seguir para obter os logs da Plataforma de Segurança de Rede da McAfee® no Microsoft Sentinel.

  1. Encaminhe alertas do gerenciador para um servidor syslog.

  2. Você deve adicionar um perfil de notificação de syslog. Ao criar o perfil, para garantir que os eventos estejam formatados corretamente, insira o seguinte texto na caixa de texto Mensagem:

    <SyslogAlertForwarderNSP>:|SENSOR_ALERT_UUID|ALERT_TYPE|ATTACK_TIME|ATTACK_NAME|ATTACK_ID |ATTACK_SEVERITY|ATTACK_SIGNATURE|ATTACK_CONFIDENCE|ADMIN_DOMAIN|SENSOR_NAME|INTERFACE |SOURCE_IP|SOURCE_PORT|DESTINATION_IP|DESTINATION_PORT|CATEGORY|SUB_CATEGORY |DIRECTION|RESULT_STATUS|DETECTION_MECHANISM|APPLICATION_PROTOCOL|NETWORK_PROTOCOL|

Esse conector de dados foi desenvolvido usando a versão 10.1.x do McAfee® Network Security Platform.

McAfee ePolicy Orchestrator

Entre em contato com o provedor para obter orientação sobre como registrar um servidor syslog.

Microsoft Sysmon For Linux

Esse conector de dados depende de analisadores ASIM baseados em uma função Kusto para funcionar conforme o esperado. Implante os analisadores.

As seguintes funções são implantadas:

  • vimFileEventLinuxSysmonFileCreated, vimFileEventLinuxSysmonFileDeleted
  • vimProcessCreateLinuxSysmon, vimProcessTerminateLinuxSysmon
  • vimNetworkSessionLinuxSysmon

Leia mais

Nasuni

Siga as instruções no Guia do Console de Gerenciamento da Nasuni para configurar os Dispositivos de Borda da Nasuni para encaminhar os eventos do syslog. Use o endereço IP ou o nome do host do dispositivo Linux que está executando o Agente do Azure Monitor no campo de configuração de Servidores para as configurações do syslog.

OpenVPN

Instale o agente no Servidor para o qual as OpenVPN são encaminhadas. Os logs do servidor OpenVPN são gravados em um arquivo syslog comum (dependendo da distribuição Linux usada: por exemplo, /var/log/messages).

Oracle Database Audit

Conclua as seguintes etapas.

  1. Crie o banco de dados Oracle Siga estas etapas.
  2. Entre no banco de dados Oracle que você criou. Siga estas etapas.
  3. Habilite o registro em log unificado no syslog Altere o sistema para habilitar o registro em log unificado Seguindo estas etapas.
  4. Crie e habilite uma política de auditoria para obter auditoria unificada Siga estas etapas.
  5. Habilitar o syslog e o Visualizador de Eventos Capturas para a Trilha de Auditoria Unificada Siga estas etapas.

Pulse Connect Secure

Siga as instruções para habilitar a transmissão syslog dos logs do Pulse Connect Secure. Use o endereço IP ou o nome do host para o dispositivo Linux com o agente Linux instalado como o endereço IP de destino.

Observação

A funcionalidade desse conector de dados depende de um analisador baseado em função Kusto, que é parte integrante de sua operação. Esse analisador é implantado como parte da instalação da solução.

Atualize o analisador e especifique o nome do host das máquinas de origem que transmitem os logs na primeira linha do analisador.

Para acessar o código da função no Log Analytics, navegue até a seção Logs do Log Analytics/Microsoft Sentinel, selecione Funções e pesquise o alias PulseConnectSecure. Como alternativa, carregue diretamente o código da função. Pode levar cerca de 15 minutos após a instalação para atualizar.

RSA SecurID

Conclua as etapas a seguir para obter logs do Gerenciador de Autenticação do RSA® SecurID no Microsoft Sentinel. Siga estas instruções para encaminhar alertas do Gerenciador para um servidor Syslog.

Observação

A funcionalidade desse conector de dados depende de um analisador baseado em função Kusto, que é parte integrante de sua operação. Esse analisador é implantado como parte da instalação da solução.

Atualize o analisador e especifique o nome do host das máquinas de origem que transmitem os logs na primeira linha do analisador.

Para acessar o código da função no Log Analytics, navegue até a seção Logs do Log Analytics/Microsoft Sentinel, selecione Funções e pesquise o alias RSASecurIDAMEvent. Como alternativa, você pode carregar diretamente o código da função. Pode levar cerca de 15 minutos após a instalação para atualizar.

Esse conector de dados foi desenvolvido usando o RSA SecurID Authentication Manager versão: 8.4 e 8.5

Firewall Sophos XG

Siga estas instruções para habilitar o streaming de syslog. Use o endereço IP ou o nome do host para o dispositivo Linux com o agente Linux instalado como o endereço IP de destino.

Observação

A funcionalidade desse conector de dados depende de um analisador baseado em função Kusto, que é parte integrante de sua operação. Esse analisador é implantado como parte da instalação da solução.

Atualize o analisador e especifique o nome do host das máquinas de origem que transmitem os logs na primeira linha do analisador. Para acessar o código de função no Log Analytics, navegue até a seção Logs do Log Analytics/Microsoft Sentinel, selecione Funções e pesquise o alias SophosXGFirewall. Como alternativa, carregue diretamente o código da função. Pode levar cerca de 15 minutos após a instalação para atualizar.

Symantec Endpoint Protection

Siga estas instruções para configurar o Symantec Endpoint Protection para encaminhar o syslog. Use o endereço IP ou o nome do host para o dispositivo Linux com o agente Linux instalado como o endereço IP de destino.

Observação

A funcionalidade desse conector de dados depende de um analisador baseado em função Kusto, que é parte integrante de sua operação. Esse analisador é implantado como parte da instalação da solução.

Atualize o analisador e especifique o nome do host das máquinas de origem que transmitem os logs na primeira linha do analisador. Para acessar o código da função no Log Analytics, navegue até a seção Logs do Log Analytics/Microsoft Sentinel, selecione Funções e pesquise o alias SymantecEndpointProtection. Como alternativa, você pode carregar diretamente o código da função. Pode levar cerca de 15 minutos após a instalação para atualizar.

Symantec ProxySG

  1. Entre no console de gerenciamento do Blue Coat.

  2. Selecione Formatos de log>de acesso à configuração.>

  3. Selecione Novo.

  4. Insira um nome exclusivo no campo Nome do formato.

  5. Selecione o botão de opção para Cadeia de caracteres de formato personalizado e cole a seguinte cadeia de caracteres no campo.

    1 $(date) $(time) $(time-taken) $(c-ip) $(cs-userdn) $(cs-auth-groups) $(x-exception-id) $(sc-filter-result) $(cs-categories) $(quot)$(cs(Referer))$(quot) $(sc-status) $(s-action) $(cs-method) $(quot)$(rs(Content-Type))$(quot) $(cs-uri-scheme) $(cs-host) $(cs-uri-port) $(cs-uri-path) $(cs-uri-query) $(cs-uri-extension) $(quot)$(cs(User-Agent))$(quot) $(s-ip) $(sr-bytes) $(rs-bytes) $(x-virus-id) $(x-bluecoat-application-name) $(x-bluecoat-application-operation) $(cs-uri-port) $(x-cs-client-ip-country) $(cs-threat-risk)

  6. Selecione OK.

  7. Selecione Aplicarn.

  8. Siga estas instruções para ativar o streaming de syslog dos logs do Access . Use o endereço IP ou o nome do host para o dispositivo Linux com o agente Linux instalado como o endereço IP de destino

Observação

A funcionalidade desse conector de dados depende de um analisador baseado em função Kusto, que é parte integrante de sua operação. Esse analisador é implantado como parte da instalação da solução.

Atualize o analisador e especifique o nome do host das máquinas de origem que transmitem os logs na primeira linha do analisador.

Para acessar o código da função no Log Analytics, navegue até a seção Logs do Log Analytics/Microsoft Sentinel, selecione Funções e pesquise o alias SymantecProxySG. Como alternativa, carregue diretamente o código da função. Pode levar cerca de 15 minutos após a instalação para atualizar.

Symantec VIP

Siga estas instruções para configurar o Symantec VIP Enterprise Gateway a fim de encaminhar o syslog. Use o endereço IP ou o nome do host para o dispositivo Linux com o agente Linux instalado como o endereço IP de destino.

Observação

A funcionalidade desse conector de dados depende de um analisador baseado em função Kusto, que é parte integrante de sua operação. Esse analisador é implantado como parte da instalação da solução.

Atualize o analisador e especifique o nome do host das máquinas de origem que transmitem os logs na primeira linha do analisador.

Para acessar o código da função no Log Analytics, navegue até a seção Logs do Log Analytics/Microsoft Sentinel, selecione Funções e pesquise o alias SymantecVIP. Como alternativa, carregue diretamente o código da função. Pode levar cerca de 15 minutos após a instalação para atualizar.

VMware ESXi

  1. Siga estas instruções para configurar o VMware ESXi para encaminhar o Syslog:

  2. Use o endereço IP ou o nome do host para o dispositivo Linux com o agente Linux instalado como o endereço IP de destino.

Observação

A funcionalidade desse conector de dados depende de um analisador baseado em função Kusto, que é parte integrante de sua operação. Esse analisador é implantado como parte da instalação da solução.

Atualize o analisador e especifique o nome do host das máquinas de origem que transmitem os logs na primeira linha do analisador.

Para acessar o código de função no Log Analytics, navegue até a seção Logs do Log Analytics/Microsoft Sentinel, selecione Funções e pesquise o alias VMwareESXi. Como alternativa, carregue diretamente o código da função. Pode levar cerca de 15 minutos após a instalação para atualizar.

WatchGuard Firebox

Siga estas instruções para enviar dados de log do WatchGuard Firebox via syslog.