Syslog via AMA-dataanslutning – Konfigurera specifik installation eller enhet för Microsoft Sentinel-datainmatning

Logginsamling från många säkerhetsenheter och enheter stöds av Syslog via AMA-dataanslutningen i Microsoft Sentinel. Den här artikeln innehåller installationsanvisningar från leverantören för specifika säkerhetsinstallationer och enheter som använder den här dataanslutningsappen. Kontakta leverantören för uppdateringar, mer information eller var informationen inte är tillgänglig för din säkerhetsinstallation eller enhet.

Om du vill vidarebefordra data till Log Analytics-arbetsytan för Microsoft Sentinel slutför du stegen i Mata in syslog- och CEF-meddelanden till Microsoft Sentinel med Azure Monitor-agenten. När du slutför de här stegen installerar du Syslog via AMA-dataanslutningen i Microsoft Sentinel. Använd sedan lämpliga providerinstruktioner i den här artikeln för att slutföra installationen.

Mer information om den relaterade Microsoft Sentinel-lösningen för var och en av dessa enheter finns i Azure Marketplace efter produkttypslösningsmallar> eller granska lösningen från innehållshubben i Microsoft Sentinel.

Barracuda CloudGen-brandväggen

Följ anvisningarna för att konfigurera syslog-strömning. Använd IP-adressen eller värdnamnet för Linux-datorn med Microsoft Sentinel-agenten installerad för mål-IP-adressen .

Blackberry CylancePROTECT

Följ de här anvisningarna för att konfigurera CylancePROTECT för att vidarebefordra syslog. Använd IP-adressen eller värdnamnet för Linux-enheten med Linux-agenten installerad som mål-IP-adress .

Cisco Application Centric Infrastructure (ACI)

Konfigurera Cisco ACI-systemet för att skicka loggar via syslog till fjärrservern där du installerar agenten. Följ de här stegen för att konfigurera Syslog-mål, målgrupp och Syslog-källa.

Den här dataanslutningsappen utvecklades med Cisco ACI Release 1.x.

Cisco Identity Services Engine (ISE)

Följ de här anvisningarna för att konfigurera platser för syslog-fjärrinsamling i Cisco ISE-distributionen.

Cisco Stealthwatch

Utför följande konfigurationssteg för att hämta Cisco Stealthwatch-loggar till Microsoft Sentinel.

1. Logga in på Stealthwatch Management Console (SMC) som administratör.

2. I menyraden väljer du Hantering av konfigurationssvar>.

3. I avsnittet Åtgärder på menyn Svarshantering väljer du Lägg till > Syslog-meddelande.

4. I fönstret Lägg till Syslog-meddelandeåtgärd konfigurerar du parametrar.

5. Ange följande anpassade format:

   |Lancope|Stealthwatch|7.3|{alarm_type_id}|0x7C|src={source_ip}|dst={target_ip}|dstPort={port}|proto={protocol}|msg={alarm_type_description}|fullmessage={details}|start={start_active_time}|end={end_active_time}|cat={alarm_category_name}|alarmID={alarm_id}|sourceHG={source_host_group_names}|targetHG={target_host_group_names}|sourceHostSnapshot={source_url}|targetHostSnapshot={target_url}|flowCollectorName={device_name}|flowCollectorIP={device_ip}|domain={domain_name}|exporterName={exporter_hostname}|exporterIPAddress={exporter_ip}|exporterInfo={exporter_label}|targetUser={target_username}|targetHostname={target_hostname}|sourceUser={source_username}|alarmStatus={alarm_status}|alarmSev={alarm_severity_name}

6. Välj det anpassade formatet i listan och OK.

7. Välj Hanteringsregler för svar>.

8. Välj Lägg till och Värdlarm.

9. Ange ett regelnamn i fältet Namn .

10. Skapa regler genom att välja värden från menyerna Typ och Alternativ . Om du vill lägga till fler regler väljer du ellipsikonen. För ett värdlarm kombinerar du så många möjliga typer som möjligt i en instruktion.

Den här dataanslutningsappen utvecklades med Cisco Stealthwatch version 7.3.2

Cisco Unified Computing Systems (UCS)

Följ de här anvisningarna för att konfigurera Cisco UCS att vidarebefordra syslog. Använd IP-adressen eller värdnamnet för Linux-enheten med Linux-agenten installerad som mål-IP-adress .

Kommentar

Funktionerna i den här dataanslutningsappen är beroende av en Kusto-funktionsbaserad parser, som är integrerad i dess åtgärd. Den här parsern distribueras som en del av lösningsinstallationen.

Uppdatera parsern och ange värdnamnet för källdatorerna som skickar loggarna på parserns första rad.

Om du vill komma åt funktionskoden i Log Analytics går du till avsnittet Log Analytics/Microsoft Sentinel-loggar, väljer Funktioner och söker efter aliaset CiscoUCS. Du kan också läsa in funktionskoden direkt. Det kan ta cirka 15 minuter efter installationen att uppdateras.

Cisco Web Security Appliance (WSA)

Konfigurera Cisco för att vidarebefordra loggar via syslog till fjärrservern där du installerar agenten. Följ dessa steg för att konfigurera Cisco WSA att vidarebefordra loggar via Syslog

Välj Syslog Push som hämtningsmetod.

Den här dataanslutningsappen utvecklades med hjälp av AsyncOS 14.0 för Cisco Web Security Appliance

Citrix Application Delivery Controller (ADC)

Konfigurera Citrix ADC (tidigare NetScaler) för att vidarebefordra loggar via Syslog.

1. Gå till fliken > Konfiguration Systemgranskning > > Syslog-servrar >
2. Ange Syslog-åtgärdsnamn.
3. Ange IP-adressen för syslog-fjärrservern och porten.
4. Ange Transporttyp som TCP eller UDP beroende på fjärrkonfigurationen av syslog-servern.
5. Mer information finns i dokumentationen om Citrix ADC (tidigare NetScaler).

Kommentar

Funktionerna i den här dataanslutningsappen är beroende av en Kusto-funktionsbaserad parser, som är integrerad i dess åtgärd. Den här parsern distribueras som en del av lösningsinstallationen. Om du vill komma åt funktionskoden i Log Analytics går du till avsnittet Log Analytics/Microsoft Sentinel-loggar, väljer Funktioner och söker efter aliaset CitrixADCEvent. Du kan också läsa in funktionskoden direkt. Det kan ta cirka 15 minuter efter installationen att uppdateras.

Den här parsern kräver en visningslista med namnet Sources_by_SourceType.

i. Om du inte redan har skapat visningslistan skapar du en bevakningslista från Microsoft Sentinel i Azure Portal.

ii. Öppna visningslistan Sources_by_SourceType och lägg till poster för den här datakällan.

ii. SourceType-värdet för CitrixADC är CitrixADC. Mer information finns i Hantera ASIM-parsare (Advanced Security Information Model).

Dataförlustskydd för Digital Guardian

Utför följande steg för att konfigurera Digital Guardian att vidarebefordra loggar via Syslog:

1. Logga in på Hanteringskonsolen för Digital Guardian.
2. Välj Export av arbetsytedata>>Skapa export.
3. I listan Datakällor väljer du Aviseringar eller händelser som datakälla.
4. I listan Exporttyp väljer du Syslog.
5. I listan Typ väljer du UDP eller TCP som transportprotokoll.
6. I fältet Server skriver du IP-adressen för fjärr-syslog-servern.
7. I fältet Port skriver du 514 (eller annan port om syslog-servern har konfigurerats för att använda nondefault-port).
8. I listan Allvarlighetsgrad väljer du en allvarlighetsgrad.
9. Markera kryssrutan Är aktiv .
10. Välj Nästa.
11. I listan över tillgängliga fält lägger du till aviserings- eller händelsefält för din dataexport.
12. Välj ett villkor för fälten i din dataexport och Nästa.
13. Välj en grupp för kriterierna och Nästa.
14. Välj Testfråga.
15. Välj Nästa.
16. Spara dataexporten.

ESET Protect-integrering

Konfigurera ESET PROTECT för att skicka alla händelser via Syslog.

1. Följ de här anvisningarna för att konfigurera syslog-utdata. Se till att välja BSD som format och TCP som transport.
2. Följ de här anvisningarna för att exportera alla loggar till syslog. Välj JSON som utdataformat.

Exabeam Advanced Analytics

Följ de här anvisningarna för att skicka Exabeam Advanced Analytics-aktivitetsloggdata via syslog.

Den här dataanslutningsappen utvecklades med Exabeam Advanced Analytics i54 (Syslog)

Forescout

Utför följande steg för att hämta Forescout-loggar till Microsoft Sentinel.

1. Välj en installation som ska konfigureras.
2. Följ dessa instruktioner för att vidarebefordra aviseringar från Forescout-plattformen till en syslog-server.
3. Konfigurera inställningarna på fliken Syslog-utlösare .

Den här dataanslutningsappen utvecklades med hjälp av Forescout Syslog Plugin-version: v3.6

Gitlab

Följ de här anvisningarna för att skicka Gitlab-granskningsloggdata via syslog.

ISC-bindning

1. Följ de här anvisningarna för att konfigurera ISC-bindningen för att vidarebefordra syslog: DNS-loggar.
2. Konfigurera syslog för att skicka syslog-trafiken till agenten. Använd IP-adressen eller värdnamnet för Linux-enheten med Linux-agenten installerad som mål-IP-adress .

Infoblox Network Identity Operating System (NIOS)

Följ de här anvisningarna för att aktivera syslog-vidarebefordran av Infoblox NIOS-loggar. Använd IP-adressen eller värdnamnet för Linux-enheten med Linux-agenten installerad som mål-IP-adress .

Kommentar

Funktionerna i den här dataanslutningsappen är beroende av en Kusto-funktionsbaserad parser, som är integrerad i dess åtgärd. Den här parsern distribueras som en del av lösningsinstallationen.

Om du vill komma åt funktionskoden i Log Analytics går du till avsnittet Log Analytics/Microsoft Sentinel-loggar, väljer Funktioner och söker efter aliaset Infoblox. Du kan också läsa in funktionskoden direkt. Det kan ta cirka 15 minuter efter installationen att uppdateras.

Den här parsern kräver en visningslista med namnet Sources_by_SourceType.

i. Om du inte redan har skapat visningslistan skapar du en bevakningslista från Microsoft Sentinel i Azure Portal.

ii. Öppna visningslistan Sources_by_SourceType och lägg till poster för den här datakällan.

ii. SourceType-värdet för InfobloxNIOS är InfobloxNIOS.

Mer information finns i Hantera ASIM-parsare (Advanced Security Information Model).

Ivanti Unified Endpoint Management

Följ anvisningarna för att konfigurera aviseringsåtgärder för att skicka loggar till syslog-servern.

Den här dataanslutningsappen utvecklades med hjälp av Ivanti Unified Endpoint Management Release 2021.1 Version 11.0.3.374

Juniper SRX

1. Utför följande instruktioner för att konfigurera Juniper SRX att vidarebefordra syslog:

   • Trafikloggar (säkerhetsprinciploggar)
   • Systemloggar

2. Använd IP-adressen eller värdnamnet för Linux-enheten med Linux-agenten installerad som mål-IP-adress .

McAfee Network Security Platform

Utför följande konfigurationssteg för att hämta Loggar för McAfee® Network Security Platform till Microsoft Sentinel.

1. Vidarebefordra aviseringar från chefen till en syslog-server.

2. Du måste lägga till en syslog-meddelandeprofil. När du skapar profilen anger du följande text i textrutan Meddelande för att se till att händelserna är korrekt formaterade:

   <SyslogAlertForwarderNSP>:|SENSOR_ALERT_UUID|ALERT_TYPE|ATTACK_TIME|ATTACK_NAME|ATTACK_ID |ATTACK_SEVERITY|ATTACK_SIGNATURE|ATTACK_CONFIDENCE|ADMIN_DOMAIN|SENSOR_NAME|INTERFACE |SOURCE_IP|SOURCE_PORT|DESTINATION_IP|DESTINATION_PORT|CATEGORY|SUB_CATEGORY |DIRECTION|RESULT_STATUS|DETECTION_MECHANISM|APPLICATION_PROTOCOL|NETWORK_PROTOCOL|

Den här dataanslutningsappen utvecklades med hjälp av McAfee® Network Security Platform-versionen: 10.1.x.

McAfee ePolicy Orchestrator

Kontakta leverantören för vägledning om hur du registrerar en syslog-server.

Microsoft Sysmon för Linux

Den här dataanslutningsappen är beroende av ASIM-parsare baserat på en Kusto Functions för att fungera som förväntat. Distribuera parsarna.

Följande funktioner distribueras:

• vimFileEventLinuxSysmonFileCreated, vimFileEventLinuxSysmonFileDeleted
• vimProcessCreateLinuxSysmon, vimProcessTerminateLinuxSysmon
• vimNetworkSessionLinuxSysmon

Läs mer

Nasuni

Följ anvisningarna i Nasuni-hanteringskonsolguiden för att konfigurera Nasuni Edge-apparater för vidarebefordran av syslog-händelser. Använd IP-adressen eller värdnamnet för Den Linux-enhet som kör Azure Monitor-agenten i fältet Serverkonfiguration för syslog-inställningarna.

OpenVPN

Installera agenten på servern där OpenVPN vidarebefordras. OpenVPN-serverloggar skrivs till en vanlig syslog-fil (beroende på vilken Linux-distribution som används: t.ex. /var/log/messages).

Oracle Database-granskning

Utför följande steg.

1. Skapa Oracle-databasen Följ dessa steg.
2. Logga in på Oracle-databasen som du skapade. Följ dessa steg.
3. Aktivera enhetlig loggning över syslog genom att ändra systemet för att aktivera enhetlig loggning Genom att följa dessa steg.
4. Skapa och aktivera en granskningsprincip för enhetlig granskning Följ dessa steg.
5. Aktivera syslog och Loggboken Captures för Unified Audit Trail Följ dessa steg.

Pulse Connect Secure

Följ anvisningarna för att aktivera syslog-strömning av Pulse Connect Secure-loggar. Använd IP-adressen eller värdnamnet för Linux-enheten med Linux-agenten installerad som mål-IP-adress .

Kommentar

Funktionerna i den här dataanslutningsappen är beroende av en Kusto-funktionsbaserad parser, som är integrerad i dess åtgärd. Den här parsern distribueras som en del av lösningsinstallationen.

Uppdatera parsern och ange värdnamnet för källdatorerna som skickar loggarna på parserns första rad.

Om du vill komma åt funktionskoden i Log Analytics går du till avsnittet Log Analytics/Microsoft Sentinel-loggar, väljer Funktioner och söker efter aliaset PulseConnectSecure. Du kan också läsa in funktionskoden direkt. Det kan ta cirka 15 minuter efter installationen att uppdateras.

RSA SecurID

Utför följande steg för att hämta RSA® SecurID Authentication Manager-loggar till Microsoft Sentinel. Följ de här anvisningarna för att vidarebefordra aviseringar från hanteraren till en syslog-server.

Kommentar

Funktionerna i den här dataanslutningsappen är beroende av en Kusto-funktionsbaserad parser, som är integrerad i dess åtgärd. Den här parsern distribueras som en del av lösningsinstallationen.

Uppdatera parsern och ange värdnamnet för källdatorerna som skickar loggarna på parserns första rad.

Om du vill komma åt funktionskoden i Log Analytics går du till avsnittet Log Analytics/Microsoft Sentinel-loggar, väljer Funktioner och söker efter aliaset RSASecurIDAMEvent. Du kan också läsa in funktionskoden direkt. Det kan ta cirka 15 minuter efter installationen att uppdateras.

Den här dataanslutningsappen utvecklades med RSA SecurID Authentication Manager-versionen: 8.4 och 8.5

Sophos XG-brandvägg

Följ de här anvisningarna för att aktivera syslog-strömning. Använd IP-adressen eller värdnamnet för Linux-enheten med Linux-agenten installerad som mål-IP-adress .

Kommentar

Funktionerna i den här dataanslutningsappen är beroende av en Kusto-funktionsbaserad parser, som är integrerad i dess åtgärd. Den här parsern distribueras som en del av lösningsinstallationen.

Uppdatera parsern och ange värdnamnet för källdatorerna som skickar loggarna på parserns första rad. Om du vill komma åt funktionskoden i Log Analytics går du till avsnittet Log Analytics/Microsoft Sentinel-loggar, väljer Funktioner och söker efter aliaset SophosXGFirewall. Du kan också läsa in funktionskoden direkt. Det kan ta cirka 15 minuter efter installationen att uppdateras.

Symantec Endpoint Protection

Följ de här anvisningarna för att konfigurera Symantec Endpoint Protection så att syslog vidarebefordras. Använd IP-adressen eller värdnamnet för Linux-enheten med Linux-agenten installerad som mål-IP-adress .

Kommentar

Funktionerna i den här dataanslutningsappen är beroende av en Kusto-funktionsbaserad parser, som är integrerad i dess åtgärd. Den här parsern distribueras som en del av lösningsinstallationen.

Uppdatera parsern och ange värdnamnet för källdatorerna som skickar loggarna på parserns första rad. Om du vill komma åt funktionskoden i Log Analytics går du till avsnittet Log Analytics/Microsoft Sentinel-loggar, väljer Funktioner och söker efter aliaset SymantecEndpointProtection. Du kan också läsa in funktionskoden direkt. Det kan ta cirka 15 minuter efter installationen att uppdateras.

Symantec ProxySG

1. Logga in på blue coat-hanteringskonsolen.

2. Välj Loggningsformat>för konfigurationsåtkomst.>

3. Välj Ny.

4. Ange ett unikt namn i fältet Formatnamn .

5. Välj alternativknappen för Anpassad formatsträng och klistra in följande sträng i fältet.

   1 $(date) $(time) $(time-taken) $(c-ip) $(cs-userdn) $(cs-auth-groups) $(x-exception-id) $(sc-filter-result) $(cs-categories) $(quot)$(cs(Referer))$(quot) $(sc-status) $(s-action) $(cs-method) $(quot)$(rs(Content-Type))$(quot) $(cs-uri-scheme) $(cs-host) $(cs-uri-port) $(cs-uri-path) $(cs-uri-query) $(cs-uri-extension) $(quot)$(cs(User-Agent))$(quot) $(s-ip) $(sr-bytes) $(rs-bytes) $(x-virus-id) $(x-bluecoat-application-name) $(x-bluecoat-application-operation) $(cs-uri-port) $(x-cs-client-ip-country) $(cs-threat-risk)

6. Välj OK.

7. Välj Användn.

8. Följ de här anvisningarna för att aktivera syslog-strömning av åtkomstloggar . Använd IP-adressen eller värdnamnet för Linux-enheten med Linux-agenten installerad som mål-IP-adress

Kommentar

Funktionerna i den här dataanslutningsappen är beroende av en Kusto-funktionsbaserad parser, som är integrerad i dess åtgärd. Den här parsern distribueras som en del av lösningsinstallationen.

Uppdatera parsern och ange värdnamnet för källdatorerna som skickar loggarna på parserns första rad.

Om du vill komma åt funktionskoden i Log Analytics går du till avsnittet Log Analytics/Microsoft Sentinel-loggar, väljer Funktioner och söker efter aliaset SymantecProxySG. Du kan också läsa in funktionskoden direkt. Det kan ta cirka 15 minuter efter installationen att uppdateras.

Symantec VIP

Följ de här anvisningarna för att konfigurera Symantec VIP Enterprise Gateway för att vidarebefordra syslog. Använd IP-adressen eller värdnamnet för Linux-enheten med Linux-agenten installerad som mål-IP-adress .

Kommentar

Funktionerna i den här dataanslutningsappen är beroende av en Kusto-funktionsbaserad parser, som är integrerad i dess åtgärd. Den här parsern distribueras som en del av lösningsinstallationen.

Uppdatera parsern och ange värdnamnet för källdatorerna som skickar loggarna på parserns första rad.

Om du vill komma åt funktionskoden i Log Analytics går du till avsnittet Log Analytics/Microsoft Sentinel-loggar, väljer Funktioner och söker efter aliaset SymantecVIP. Du kan också läsa in funktionskoden direkt. Det kan ta cirka 15 minuter efter installationen att uppdateras.

VMware ESXi

1. Följ de här anvisningarna för att konfigurera VMware ESXi för att vidarebefordra syslog:

   • VMware ESXi 3.5 och 4.x
   • VMware ESXi 5.0+

2. Använd IP-adressen eller värdnamnet för Linux-enheten med Linux-agenten installerad som mål-IP-adress .

Kommentar

Funktionerna i den här dataanslutningsappen är beroende av en Kusto-funktionsbaserad parser, som är integrerad i dess åtgärd. Den här parsern distribueras som en del av lösningsinstallationen.

Uppdatera parsern och ange värdnamnet för källdatorerna som skickar loggarna på parserns första rad.

Om du vill komma åt funktionskoden i Log Analytics går du till avsnittet Log Analytics/Microsoft Sentinel-loggar, väljer Funktioner och söker efter aliaset VMwareESXi. Du kan också läsa in funktionskoden direkt. Det kan ta cirka 15 minuter efter installationen att uppdateras.

WatchGuard Firebox

Följ dessa instruktioner för att skicka WatchGuard Firebox-loggdata via syslog.

Relaterat innehåll

• Mata in syslog- och CEF-meddelanden till Microsoft Sentinel med Azure Monitor-agenten
• Syslog via AMA och Common Event Format (CEF) via AMA-anslutningsappar för Microsoft Sentinel