CEF via conector de dados AMA - Configurar dispositivo ou dispositivo específico para ingestão de dados do Microsoft Sentinel
A coleta de logs de muitos dispositivos e dispositivos de segurança é suportada pelo CEF (Common Event Format) por meio do conector de dados AMA no Microsoft Sentinel. Este artigo lista as instruções de instalação fornecidas pelo provedor para dispositivos e dispositivos de segurança específicos que usam esse conector de dados. Entre em contato com o provedor para obter atualizações, mais informações ou onde as informações não estão disponíveis para seu dispositivo ou dispositivo de segurança.
Para ingerir dados para seu espaço de trabalho do Log Analytics para o Microsoft Sentinel, conclua as etapas em Ingest syslog e mensagens CEF para o Microsoft Sentinel com o Azure Monitor Agent. Essas etapas incluem a instalação do Common Event Format (CEF) por meio do conector de dados AMA no Microsoft Sentinel. Depois que o conector for instalado, use as instruções apropriadas para o seu dispositivo, mostradas mais adiante neste artigo, para concluir a configuração.
Para obter mais informações sobre a solução Microsoft Sentinel relacionada para cada um desses dispositivos ou dispositivos, pesquise no Azure Marketplace os Modelos de Solução de Tipo>de Produto ou examine a solução do hub de conteúdo no Microsoft Sentinel.
Importante
O Microsoft Sentinel está geralmente disponível na plataforma unificada de operações de segurança da Microsoft no portal Microsoft Defender. Para visualização, o Microsoft Sentinel está disponível no portal do Defender sem o Microsoft Defender XDR ou uma licença E5. Para obter mais informações, consulte Microsoft Sentinel no portal do Microsoft Defender.
Analista de IA Darktrace
Configure o Darktrace para encaminhar mensagens syslog no formato CEF para seu espaço de trabalho do Azure por meio do agente syslog.
- No Darktrace Threat Visualizer, navegue até a página Configuração do sistema no menu principal em Admin.
- No menu à esquerda, selecione Módulos e escolha Microsoft Sentinel nas integrações de fluxo de trabalho disponíveis.
- Localize o Microsoft Sentinel syslog CEF e selecione Novo para revelar as definições de configuração, a menos que já esteja exposto.
- No campo Configuração do servidor , insira o local do encaminhador de log e, opcionalmente, modifique a porta de comunicação. Certifique-se de que a porta selecionada está definida como 514 e é permitida por qualquer firewall intermediário.
- Configure quaisquer limites de alerta, compensações de tempo ou outras configurações, conforme necessário.
- Revise quaisquer outras opções de configuração que você queira habilitar que alterem a sintaxe do syslog.
- Habilite Enviar alertas e salve suas alterações.
Eventos de Segurança da Akamai
Siga estas etapas para configurar o conector CEF da Akamai para enviar mensagens syslog no formato CEF para a máquina proxy. Certifique-se de enviar os logs para a porta 514 TCP no endereço IP da máquina.
AristaAwakeSecurity
Conclua as seguintes etapas para encaminhar os resultados de correspondência do Awake Adversarial Model para um coletor CEF escutando na porta TCP 514 no IP 192.168.0.1:
- Navegue até a página Habilidades de gerenciamento de deteção na interface do usuário do Awake.
- Selecione + Adicionar nova habilidade.
- Definir expressão como
integrations.cef.tcp { destination: "192.168.0.1", port: 514, secure: false, severity: Warning }
- Defina Title para um nome descritivo como, Forward Awake Adversarial Model match result to Microsoft Sentinel.
- Defina o Identificador de Referência para algo facilmente detetável como, integrations.cef.sentinel-forwarder.
- Selecione Guardar.
Dentro de alguns minutos após salvar a definição e outros campos, o sistema começa a enviar novos resultados de correspondência de modelo para o coletor de eventos CEF à medida que são detetados.
Para obter mais informações, consulte a página Adicionando uma integração por push de gerenciamento de eventos e informações de segurança na documentação da Ajuda na interface do usuário do Awake.
Aruba ClearPass
Configure o Aruba ClearPass para encaminhar mensagens syslog no formato CEF para seu espaço de trabalho do Microsoft Sentinel por meio do agente syslog.
- Siga estas instruções para configurar o Aruba ClearPass para encaminhar o syslog.
- Use o endereço IP ou nome de host para o dispositivo Linux com o agente Linux instalado como o endereço IP de destino.
Barracuda WAF
O Barracuda Web Application Firewall pode integrar e exportar logs diretamente para o Microsoft Sentinel por meio do Azure Monitoring Agent (AMA).
Vá para a configuração do Barracuda WAF e siga as instruções, usando os seguintes parâmetros para configurar a conexão.
Recurso de logs do Web Firewall: Vá para as configurações avançadas do seu espaço de trabalho e nas guias Data>Syslog. Certifique-se de que a facilidade existe.
Observe que os dados de todas as regiões são armazenados no espaço de trabalho selecionado.
Broadcom SymantecDLP
Configure o Symantec DLP para encaminhar mensagens syslog no formato CEF para seu espaço de trabalho do Microsoft Sentinel por meio do agente syslog.
- Siga estas instruções para configurar o Symantec DLP para encaminhar o syslog
- Use o endereço IP ou nome de host para o dispositivo Linux com o agente Linux instalado como o endereço IP de destino.
Cisco Firepower EStreamer
Instale e configure o cliente Firepower eNcore eStreamer. Para obter mais informações, consulte o guia de instalação completo.
CiscoSEG
Conclua as seguintes etapas para configurar o Cisco Secure Email Gateway para encaminhar logs via syslog:
- Configure a Assinatura de Log.
- Selecione Logs de eventos consolidados no campo Tipo de log.
Citrix Web App Firewall
Configure o Citrix WAF para enviar mensagens syslog no formato CEF para a máquina proxy.
Encontre guias para configurar logs WAF e CEF do Citrix Support.
Siga este guia para encaminhar os logs para o proxy. Certifique-se de enviar os logs para a porta 514 TCP no endereço IP da máquina Linux.
Claroty
Configure o encaminhamento de logs usando o CEF.
- Navegue até a seção Syslog do menu Configuração.
- Selecione +Adicionar.
- Na caixa de diálogo Adicionar Novo Syslog, especifique IP, Porta, Protocolo do Servidor Remoto.
- Selecione Formato - de mensagem CEF.
- Escolha Salvar para sair da caixa de diálogo Adicionar Syslog.
Proteção de contraste
Configure o agente Contrast Protect para encaminhar eventos para o syslog conforme descrito aqui: https://docs.contrastsecurity.com/en/output-to-syslog.html. Gere alguns eventos de ataque para seu aplicativo.
Falcão CrowdStrike
Implante o CrowdStrike Falcon SIEM Collector para encaminhar mensagens syslog no formato CEF para seu espaço de trabalho do Microsoft Sentinel por meio do agente syslog.
- Siga estas instruções para implantar o Coletor SIEM e encaminhar o syslog.
- Use o endereço IP ou nome de host para o dispositivo Linux com o agente Linux instalado como o endereço IP de destino.
Eventos do CyberArk Enterprise Password Vault (EPV)
No EPV, configure o dbparm.ini para enviar mensagens syslog no formato CEF para a máquina proxy. Certifique-se de enviar os logs para a porta 514 TCP no endereço IP das máquinas.
Servidor Secreto Delinea
Configure sua solução de segurança para enviar mensagens syslog no formato CEF para a máquina proxy. Certifique-se de enviar os logs para a porta 514 TCP no endereço IP da máquina.
ExtraHop Reveal(x)
Configure sua solução de segurança para enviar mensagens syslog no formato CEF para a máquina proxy. Certifique-se de enviar os logs para a porta 514 TCP no endereço IP da máquina.
- Siga as instruções para instalar o pacote ExtraHop Detection SIEM Connector no seu sistema Reveal(x). O SIEM Connector é necessário para esta integração.
- Habilite o gatilho para o ExtraHop Detection SIEM Connector - CEF.
- Atualize o gatilho com os destinos syslog ODS que você criou.
O sistema Reveal(x) formata mensagens syslog em Common Event Format (CEF) e, em seguida, envia dados para o Microsoft Sentinel.
F5 Networks
Configure F5 para encaminhar mensagens syslog no formato CEF para seu espaço de trabalho do Microsoft Sentinel por meio do agente syslog.
Vá para F5 Configurando o log de eventos de segurança do aplicativo, siga as instruções para configurar o log remoto, usando as seguintes diretrizes:
- Defina o tipo de armazenamento remoto como CEF.
- Defina a configuração Protocolo como UDP.
- Defina o endereço IP para o endereço IP do servidor syslog.
- Defina o número da porta como 514 ou a porta usada pelo agente.
- Defina o recurso como aquele que você configurou no agente syslog. Por padrão, o agente define esse valor como local4.
- Você pode definir o Tamanho Máximo da Cadeia de Caracteres de Consulta como o mesmo que você configurou.
Segurança de rede FireEye
Conclua as seguintes etapas para enviar dados usando o CEF:
Inicie sessão no dispositivo FireEye com uma conta de administrador.
Selecione Definições.
Selecione Notificações. Selecione rsyslog.
Marque a caixa de seleção Tipo de evento.
Certifique-se de que as configurações do Rsyslog são:
- Formato padrão: CEF
- Entrega padrão: Por evento
- Padrão enviar como: Alerta
Forcepoint CASB
Configure sua solução de segurança para enviar mensagens syslog no formato CEF para a máquina proxy. Certifique-se de enviar os logs para a porta 514 TCP no endereço IP da máquina.
Forcepoint CSG
A integração é disponibilizada com duas opções de implementação:
- Usa imagens docker onde o componente de integração já está instalado com todas as dependências necessárias. Siga as instruções fornecidas no Guia de Integração.
- Requer a implantação manual do componente de integração dentro de uma máquina Linux limpa. Siga as instruções fornecidas no Guia de Integração.
Ponto de força NGFW
Configure sua solução de segurança para enviar mensagens syslog no formato CEF para a máquina proxy. Certifique-se de enviar os logs para a porta 514 TCP no endereço IP da máquina.
Auditoria comum da ForgeRock para o MIE
No ForgeRock, instale e configure esta auditoria comum (CAUD) para o Microsoft Sentinel de acordo com a documentação em https://github.com/javaservlets/SentinelAuditEventHandler. Em seguida, no Azure, siga as etapas para configurar o CEF por meio do conector de dados AMA.
Fortinet
Configure seu Fortinet para enviar mensagens Syslog no formato CEF para a máquina proxy. Certifique-se de enviar os logs para a porta 514 TCP no endereço IP da máquina.
Copie os comandos da CLI abaixo e:
- Substitua "server <ip address>" pelo endereço IP do agente Syslog.
- Defina o "<facility_name>" para usar o recurso que você configurou no agente Syslog (por padrão, o agente define isso como local4).
- Defina a porta Syslog como 514, a porta que seu agente usa.
- Para habilitar o formato CEF nas primeiras versões do FortiOS, talvez seja necessário executar o comando "set csv disable".
Para obter mais informações, vá para a Biblioteca de Documentos Fortinet, escolha sua versão e use os PDFs "Manual" e "Referência de mensagem de log".
Configure a conexão usando a CLI para executar os seguintes comandos: config log syslogd setting/n set status enable/nset format cef/nset port 514/nset server <ip_address_of_Receiver>/nend
iboss
Configure seu Console de Ameaças para enviar mensagens syslog no formato CEF para seu espaço de trabalho do Azure. Anote o ID do espaço de trabalho e a chave primária no espaço de trabalho do Log Analytics. Selecione o espaço de trabalho no menu de espaços de trabalho do Log Analytics no portal do Azure. Em seguida, selecione Gerenciamento de agentes na seção Configurações .
- Navegue até Reporting & Analytics dentro do console do iboss.
- Selecione Log Forwarding>Forward from Reporter.
- Selecione Ações>Adicionar serviço.
- Alterne para o Microsoft Sentinel como um Tipo de Serviço e insira sua ID do Espaço de Trabalho/Chave Primária junto com outros critérios. Se uma máquina Linux proxy dedicada foi configurada, alterne para Syslog como um Tipo de Serviço e configure as configurações para apontar para sua máquina Linux proxy dedicado.
- Aguarde um a dois minutos até que a configuração seja concluída.
- Selecione o serviço Microsoft Sentinel e verifique se o status da instalação do Microsoft Sentinel foi bem-sucedido. Se uma máquina Linux proxy dedicada estiver configurada, você poderá validar sua conexão.
Núcleo Illumio
Configure o formato do evento.
- No menu do console da Web do PCE, escolha Configurações > do evento Configurações para exibir suas configurações atuais.
- Selecione Editar para alterar as configurações.
- Defina o formato do evento como CEF.
- (Opcional) Configure a severidade do evento e o período de retenção.
Configure o encaminhamento de eventos para um servidor syslog externo.
- No menu do console da Web do PCE, escolha Configurações>do evento.
- Selecione Adicionar.
- Selecione Adicionar repositório.
- Preencha a caixa de diálogo Adicionar repositório .
- Selecione OK para salvar a configuração de encaminhamento de eventos.
Plataforma ilusória
Configure sua solução de segurança para enviar mensagens syslog no formato CEF para a máquina proxy. Certifique-se de enviar os logs para a porta 514 TCP no endereço IP da máquina.
Inicie sessão na Consola ilusória e navegue até Definições>de Relatórios.
Encontre servidores Syslog.
Insira as seguintes informações:
- Nome do host: Endereço IP do agente Linux Syslog ou nome do host FQDN
- Porta: 514
- Protocolo TCP
- Mensagens de auditoria: Enviar mensagens de auditoria para o servidor
Para adicionar o servidor syslog, selecione Adicionar.
Para obter mais informações sobre como adicionar um novo servidor syslog na plataforma Illusive, encontre o Guia de Administração da Illusive Networks aqui: https://support.illusivenetworks.com/hc/en-us/sections/360002292119-Documentation-by-Version
Imperva WAF Gateway
Este conector requer a criação de uma Interface de Ação e um Conjunto de Ações no Imperva SecureSphere MX. Siga as etapas para criar os requisitos.
- Crie uma nova interface de ação que contenha os parâmetros necessários para enviar alertas WAF para o Microsoft Sentinel.
- Crie um novo Conjunto de Ações que use a Interface de Ação configurada.
- Aplique o Conjunto de Ações a todas as políticas de segurança para as quais deseja que os alertas sejam enviados ao Microsoft Sentinel.
Infoblox Conector de dados na nuvem
Conclua as etapas a seguir para configurar o Infoblox CDC para enviar dados do BloxOne para o Microsoft Sentinel por meio do agente syslog do Linux.
- Navegue até Gerenciar>conector de dados.
- Selecione a guia Configuração de destino na parte superior.
- Selecione Criar > Syslog.
- Nome: dê ao novo Destino um nome significativo, como Microsoft-Sentinel-Destination.
- Descrição: Opcionalmente, dê-lhe uma descrição significativa.
- Estado: defina o estado como Habilitado.
- Formato: defina o formato como CEF.
- FQDN/IP: Digite o endereço IP do dispositivo Linux no qual o agente Linux está instalado.
- Porto: Deixe o número da porta em 514.
- Protocolo: Selecione o protocolo desejado e o certificado da autoridade de certificação, se aplicável.
- Selecione Guardar e Fechar.
- Selecione a guia Configuração do fluxo de tráfego na parte superior.
- Selecione Criar.
- Nome: dê ao novo Fluxo de Tráfego um nome significativo, como Microsoft-Sentinel-Flow.
- Descrição: Opcionalmente, dê-lhe uma descrição significativa.
- Estado: defina o estado como Habilitado.
- Expanda a seção Instância de serviço .
- Instância de serviço: selecione a instância de serviço desejada para a qual o serviço Data Connector está habilitado.
- Expanda a seção Configuração do código-fonte.
- Fonte: Selecione BloxOne Cloud Source.
- Selecione todos os tipos de log desejados que deseja coletar. Os tipos de log atualmente suportados são:
- Registo de Consultas/Respostas de Defesa contra Ameaças
- Threat Defense Threat Feeds Hits Log
- Registo de Consultas/Respostas DDI
- Registo de Concessões DHI DHCP
- Expanda a seção Configuração de destino.
- Selecione o Destino que você criou.
- Selecione Guardar e Fechar.
- Permita que a configuração tenha algum tempo para ativar.
Infoblox SOC Insights
Conclua as etapas a seguir para configurar o Infoblox CDC para enviar dados do BloxOne para o Microsoft Sentinel por meio do agente syslog do Linux.
- Navegue até Gerenciar > conector de dados.
- Selecione a guia Configuração de destino na parte superior.
- Selecione Criar > Syslog.
- Nome: dê ao novo Destino um nome significativo, como Microsoft-Sentinel-Destination.
- Descrição: Opcionalmente, dê-lhe uma descrição significativa.
- Estado: defina o estado como Habilitado.
- Formato: defina o formato como CEF.
- FQDN/IP: Digite o endereço IP do dispositivo Linux no qual o agente Linux está instalado.
- Porto: Deixe o número da porta em 514.
- Protocolo: Selecione o protocolo desejado e o certificado da autoridade de certificação, se aplicável.
- Selecione Guardar e Fechar.
- Selecione a guia Configuração do fluxo de tráfego na parte superior.
- Selecione Criar.
- Nome: dê ao novo Fluxo de Tráfego um nome significativo, como Microsoft-Sentinel-Flow.
- Descrição: Opcionalmente, dê-lhe uma descrição significativa.
- Estado: defina o estado como Habilitado.
- Expanda a seção Instância de serviço .
- Instância de serviço: selecione a instância de serviço desejada para a qual o serviço de conector de dados está habilitado.
- Expanda a seção Configuração do código-fonte.
- Fonte: Selecione BloxOne Cloud Source.
- Selecione o tipo de log de notificações internas.
- Expanda a seção Configuração de destino.
- Selecione o Destino que você criou.
- Selecione Guardar e Fechar.
- Permita que a configuração tenha algum tempo para ativar.
Kaspersky SecurityCenter
Siga as instruções para configurar a exportação de eventos a partir do Kaspersky Security Center.
Morfisec
Configure sua solução de segurança para enviar mensagens syslog no formato CEF para a máquina proxy. Certifique-se de enviar os logs para a porta 514 TCP no endereço IP da máquina.
Netwrix Auditor
Siga as instruções para configurar a exportação de eventos do Netwrix Auditor.
NozomiNetworks
Conclua as seguintes etapas para configurar o dispositivo Nozomi Networks para enviar alertas, auditoria e logs de integridade via syslog no formato CEF:
- Inicie sessão na consola do Guardian.
- Navegue até Integração de dados de administração>.
- Selecione +Adicionar.
- Selecione o Formato Comum de Evento (CEF) na lista suspensa.
- Crie um novo ponto de extremidade usando as informações de host apropriadas.
- Habilite Alertas, Logs de Auditoria e Logs de Integridade para envio.
Plataforma Onapsis
Consulte a ajuda do produto Onapsis para configurar o encaminhamento de log para o agente syslog.
Vá para Setup>Third-party integrations>Defend Alarms e siga as instruções para o Microsoft Sentinel.
Verifique se o console do Onapsis pode acessar a máquina proxy onde o agente está instalado. Os logs devem ser enviados para a porta 514 usando TCP.
OSSEC
Siga estas etapas para configurar o envio de alertas OSSEC via syslog.
Palo Alto - XDR (Córtex)
Configure Palo Alto XDR (Cortex) para encaminhar mensagens no formato CEF para seu espaço de trabalho do Microsoft Sentinel por meio do agente syslog.
- Vá para Configurações e configurações do Cortex.
- Selecione para adicionar Novo Servidor em Aplicativos Externos.
- Em seguida, especifique o nome e forneça o IP público do seu servidor syslog em Destino.
- Dê o número da porta como 514.
- No campo Recurso , selecione FAC_SYSLOG na lista suspensa.
- Selecione Protocolo como UDP.
- Selecione Criar.
PaloAlto-PAN-OS
Configure a Palo Alto Networks para encaminhar mensagens syslog no formato CEF para seu espaço de trabalho do Microsoft Sentinel por meio do agente syslog.
Vá para configurar Palo Alto Networks NGFW para enviar eventos CEF.
Vá para Palo Alto CEF Configuration e Palo Alto Configure Syslog Monitoring steps 2, 3, escolha sua versão e siga as instruções usando as seguintes diretrizes:
- Defina o formato do servidor Syslog como BSD.
- Copie o texto para um editor e remova todos os caracteres que possam quebrar o formato de log antes de colá-lo. As operações de copiar/colar do PDF podem alterar o texto e inserir caracteres aleatórios.
PaloAltoCDL
Siga as instruções para configurar o encaminhamento de logs do Cortex Data Lake para um servidor syslog.
PingFederate
Siga estas etapas para configurar o log de auditoria de envio do PingFederate via syslog no formato CEF.
RidgeSegurança
Configure o RidgeBot para encaminhar eventos para o servidor syslog, conforme descrito aqui. Gere alguns eventos de ataque para seu aplicativo.
SonicWall Firewall
Configure o Firewall da SonicWall para enviar mensagens syslog no formato CEF para a máquina proxy. Certifique-se de enviar os logs para a porta 514 TCP no endereço IP da máquina.
Siga as instruções. Em seguida, certifique-se de selecionar o uso local 4 como o recurso. Em seguida, selecione ArcSight como o formato syslog.
Trend Micro Apex Um
Siga estas etapas para configurar o envio de alertas do Apex Central via syslog. Durante a configuração, na etapa 6, selecione o formato de log CEF.
Trend Micro Deep Security
Configure sua solução de segurança para enviar mensagens syslog no formato CEF para a máquina proxy. Certifique-se de enviar os logs para a porta 514 TCP no endereço IP da máquina.
- Encaminhe eventos do Trend Micro Deep Security para o agente syslog.
- Defina uma nova configuração syslog que use o formato CEF fazendo referência a este artigo de conhecimento para obter informações adicionais.
- Configure o Deep Security Manager para usar essa nova configuração para encaminhar eventos para o agente syslog usando estas instruções.
- Certifique-se de salvar a função TrendMicroDeepSecurity para que ela consulte os dados do Trend Micro Deep Security corretamente.
TippingPoint da Trend Micro
Configure seu SMS TippingPoint para enviar mensagens syslog no formato ArcSight CEF Format v4.2 para a máquina proxy. Certifique-se de enviar os logs para a porta 514 TCP no endereço IP da máquina.
Controlador de Aplicação vArmour
Envie mensagens syslog no formato CEF para a máquina proxy. Certifique-se de enviar os logs para a porta 514 TCP no endereço IP da máquina.
Transfira o guia do utilizador a partir de https://support.varmour.com/hc/en-us/articles/360057444831-vArmour-Application-Controller-6-0-User-Guide. No guia do usuário, consulte "Configurando o Syslog para monitoramento e violações" e siga as etapas 1 a 3.
Vectra AI Detetar
Configure o Agente Vectra (Série X) para encaminhar mensagens syslog no formato CEF para seu espaço de trabalho Microsoft Sentinel por meio do agente syslog.
Na interface do usuário do Vectra, navegue até Notificações de configurações > e Editar configuração do syslog. Siga as instruções abaixo para configurar a conexão:
- Adicione um novo Destino (que é o host onde o agente syslog do Microsoft Sentinel está sendo executado).
- Defina a porta como 514.
- Defina o protocolo como UDP.
- Defina o formato como CEF.
- Defina os tipos de log. Selecione todos os tipos de log disponíveis.
- Selecione Salvar.
- Selecione o botão Testar para enviar alguns eventos de teste.
Para obter mais informações, consulte o Cognito Detect Syslog Guide, que pode ser baixado da página de recursos em Detect UI.
Votiro
Defina Votiro Endpoints para enviar mensagens syslog no formato CEF para a máquina Forwarder. Certifique-se de enviar os logs para a porta TCP 514 no endereço IP da máquina Encaminhadora.
Plataforma Forense de Rede WireX
Entre em contato com o suporte da WireX (https://wirexsystems.com/contact-us/) para configurar sua solução NFP para enviar mensagens syslog no formato CEF para a máquina proxy. Certifique-se de que o gerente central pode enviar os logs para a porta 514 TCP no endereço IP da máquina.
WithSecure Elements via conector
Conecte seu dispositivo WithSecure Elements Connector ao Microsoft Sentinel. O conector de dados do WithSecure Elements Connector permite que você conecte facilmente seus logs do WithSecure Elements ao Microsoft Sentinel, para exibir painéis, criar alertas personalizados e melhorar a investigação.
Nota
Os dados são armazenados na localização geográfica do espaço de trabalho no qual você está executando o Microsoft Sentinel.
Configure com o Secure Elements Connector para encaminhar mensagens syslog no formato CEF para seu espaço de trabalho do Log Analytics por meio do agente syslog.
- Selecione ou crie uma máquina Linux para o Microsoft Sentinel usar como proxy entre sua solução WithSecurity e o Microsoft Sentinel. A máquina pode ser um ambiente local, Microsoft Azure ou outro ambiente baseado em nuvem. Linux precisa ter
syslog-ng
epython
/python3
instalado. - Instale o Agente de Monitoramento do Azure (AMA) em sua máquina Linux e configure a máquina para ouvir a porta necessária e encaminhar mensagens para seu espaço de trabalho do Microsoft Sentinel. O coletor CEF coleta mensagens CEF na porta TCP 514. Você deve ter permissões elevadas (sudo) em sua máquina.
- Aceda ao PPE no Portal WithSecure Elements. Em seguida, navegue até Downloads. Na seção Elements Connector , selecione Criar chave de assinatura. Pode verificar a sua chave de subscrição em Subscrições.
- Na seção Downloads no WithSecure Elements Connector , selecione o instalador correto e baixe-o.
- Quando estiver no PPE, abra as configurações da conta no canto superior direito. Em seguida, selecione Obter chave da API de gerenciamento. Se a chave foi criada anteriormente, ela também pode ser lida lá.
- Para instalar o Elements Connector, siga o Elements Connector Docs.
- Se o acesso à API não estiver configurado durante a instalação, siga Configurando o acesso à API para o Elements Connector.
- Vá para EPP, depois Perfis, em seguida, use For Connector de onde você pode ver os perfis do conector. Crie um novo perfil (ou edite um perfil existente não somente leitura). Em Encaminhamento de eventos, habilite-o. Defina o endereço do sistema SIEM: 127.0.0.1:514. Defina o formato como Common Event Format. O protocolo é TCP. Salve o perfil e atribua-o ao Elements Connector na guia Dispositivos .
- Para usar o esquema relevante no Log Analytics para o WithSecure Elements Connector, procure CommonSecurityLog.
- Continue com a validação da conectividade CEF.
Zscaler
Configure o produto Zscaler para enviar mensagens syslog em formato CEF para o seu agente syslog. Certifique-se de enviar os logs na porta TCP 514.
Para obter mais informações, consulte o guia de integração do Zscaler Microsoft Sentinel.