你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
通过 AMA 的 CEF 数据连接器 - 配置特定设备以进行 Microsoft Sentinel 数据引入
Microsoft Sentinel 中的 通过 AMA 的通用事件格式 (CEF) 支持从许多安全设备和设备收集日志。 本文列出了提供商提供的使用此数据连接器的特定安全设备的安装说明。 请联系提供商以获取更新、详细信息,或信息不适用于你的安全设备的情况。
若要将数据引入 Microsoft Sentinel 的日志分析工作区,请完成使用 Azure Monitor 代理将 syslog 和 CEF 消息引入 Microsoft Sentinel 中的步骤。 这些步骤包括在 Microsoft Sentinel 中安装通过 AMA 的通用事件格式 (CEF) 数据连接器。 安装此连接器后,请使用适用于设备的说明(本文后面部分所示)完成设置。
有关其中每个设备或设备的相关Microsoft Sentinel 解决方案的详细信息,请在Azure 市场中搜索产品类型>解决方案模板,或从 Microsoft Sentinel 中的内容中心查看解决方案。
重要
Microsoft Sentinel 在 Microsoft Defender 门户中Microsoft的统一安全操作平台中正式发布。 对于预览版,Microsoft Sentinel 在 Defender 门户中提供,无需Microsoft Defender XDR 或 E5 许可证。 有关详细信息,请参阅 Microsoft Defender 门户中的 Microsoft Sentinel。
AI Analyst Darktrace
将 Darktrace 配置为通过 syslog 代理将 CEF 格式的 syslog 消息转发到 Azure 工作区。
- 在 Darktrace Threat Visualizer 中,导航到“管理员”下主菜单中的“系统配置”页面。
- 在左侧菜单中,选择“模块”,然后从可用的工作流集成中选择Microsoft Sentinel。
- 找到Microsoft Sentinel syslog CEF 并选择“新建”以显示配置设置,除非已公开。
- 在“服务器配置”字段中,输入日志转发器的位置,并选择性地修改通信端口。 确保所选端口设置为 514,且任何中间防火墙都不阻止它。
- 根据需要配置任何警报阈值、时间偏移量或其他设置。
- 查看你可能希望启用以更改 syslog 语法的任何其他配置选项。
- 启用“发送警报”并保存所作更改。
Akamai 安全事件
按照以下步骤配置 Akamai CEF 连接器,以 CEF 格式将 syslog 消息发送到代理计算机。 请确保将日志发送到计算机 IP 地址上的端口 514 TCP。
AristaAwakeSecurity
完成以下步骤,将唤醒的对抗模型匹配结果转发到侦听 IP 192.168.0.1 上的 TCP 端口 514 的 CEF 收集器:
- 导航到 唤醒 UI 中的“检测管理技能 ”页。
- 选择“ + 添加新技能”。
- 将表达式设置为
integrations.cef.tcp { destination: "192.168.0.1", port: 514, secure: false, severity: Warning }
- 将“标题”设置为描述性名称,例如“转发反面模型”匹配结果以Microsoft Sentinel。
- 将引用标识符设置为易发现的项,例如 integrations.cef.sentinel-forwarder。
- 选择“保存”。
在保存定义和其他字段的几分钟内,系统开始在检测到新模型匹配结果时将结果发送到 CEF 事件收集器。
有关详细信息,请参阅 Awake UI 中的帮助文档中的“添加安全信息和事件管理推送集成”页。
Aruba ClearPass
配置 Aruba ClearPass 以 CEF 格式将 syslog 消息转发到 Microsoft Sentinel 工作区,通过 syslog 代理。
- 按照这些说明进行操作,以将 Aruba ClearPass 配置为转发 Syslog。
- 使用安装为 目标 IP 地址的 Linux 代理的 Linux 设备的 IP 地址或主机名。
Barracuda WAF
Barracuda Web 应用程序防火墙可以通过 Azure 监视代理(AMA)直接与 Microsoft Sentinel 集成并导出日志。
转到 Barracuda WAF 配置,并按照说明操作,使用以下参数设置连接。
Web 防火墙日志工具:转到工作区的高级设置,并在“数据>Syslog”选项卡上。 确保设施存在。
请注意,来自所有区域的数据都存储在所选工作区中。
Broadcom SymantecDLP
将 Symantec DLP 配置为通过 syslog 代理将 CEF 格式的 syslog 消息转发到 Microsoft Sentinel 工作区。
- 按照这些说明操作,将 Symantec DLP 配置为转发 Syslog
- 使用安装为 目标 IP 地址的 Linux 代理的 Linux 设备的 IP 地址或主机名。
Cisco Firepower EStreamer
安装和配置 Firepower eNcore eStreamer 客户端。 有关详细信息,请参阅完整的安装 指南。
CiscoSEG
完成以下步骤,将 Cisco Secure Email Gateway 配置为通过 syslog 转发日志:
- 配置 日志订阅。
- 在“日志类型”字段中选择“ 合并事件日志 ”。
Citrix Web 应用防火墙
将 Citrix WAF 配置为将 CEF 格式的 syslog 消息发送到代理计算机。
Claroty
使用 CEF 配置日志转发。
- 导航到“配置”菜单的“Syslog”部分。
- 选择“+添加” 。
- 在 “添加新的 Syslog”对话框中 ,指定 远程服务器 IP、 端口、 协议。
- 选择 消息格式 - CEF。
- 选择“保存”以退出“添加 Syslog”对话框。
对比度保护
配置 Contrast Protect 代理以将事件转发到 syslog,如此处所述:https://docs.contrastsecurity.com/en/output-to-syslog.html。 为应用程序生成一些攻击事件。
CrowdStrike Falcon
部署 CrowdStrike Falcon SIEM 收集器,以便通过 syslog 代理将 CEF 格式的 syslog 消息转发到 Microsoft Sentinel 工作区。
- 按照以下说明 部署 SIEM 收集器和 转发 syslog。
- 使用安装了 Linux 代理的 Linux 设备的 IP 地址或主机名作为目标 IP 地址。
CyberArk Enterprise Password Vault (EPV) Events
在 EPV 上,将dbparm.ini配置为将 CEF 格式的 syslog 消息发送到代理计算机。 确保将日志发送到计算机 IP 地址上的端口 514 TCP。
Delinea Secret Server
设置安全解决方案以将 CEF 格式的 syslog 消息发送到代理计算机。 请确保将日志发送到计算机 IP 地址上的端口 514 TCP。
ExtraHop Reveal(x)
设置安全解决方案以将 CEF 格式的 syslog 消息发送到代理计算机。 确保将日志发送到计算机 IP 地址上的端口 514 TCP。
- 按照说明在 Reveal(x) 系统上安装 ExtraHop Detection SIEM Connector 捆绑包。 实现此集成需要使用 SIEM 连接器。
- 启用 ExtraHop 检测 SIEM 连接器 - CEF 的触发器。
- 使用创建的 ODS syslog 目标更新触发器。
Reveal(x) 系统将 syslog 消息格式化为通用事件格式 (CEF),然后将数据发送到 Microsoft Sentinel。
F5 网络
配置 F5,以通过 syslog 代理将 CEF 格式的 syslog 消息转发到 Microsoft Sentinel 工作区。
转到 F5 配置应用程序安全事件日志记录,按照说明使用以下准则来设置远程日志记录:
- 将“远程存储类型”设置为“CEF”。
- 将“协议设置”设置为“UDP”。
- 将“IP 地址”设置为 syslog 服务器 IP 地址。
- 将“端口号”设置为“514”,或代理将使用的端口。
- 将设施设置为在 syslog 代理中配置的设施。 默认情况下,代理会将此值设置为“local4”。
- 可以将“最大查询字符串大小”设置为与配置的相同。
FireEye 网络安全
完成以下步骤以使用 CEF 发送数据:
使用管理员帐户登录到 FireEye 设备。
选择“设置”。
选择通知。 选择 rsyslog。
选中“事件类型”复选框。
确保 Rsyslog 设置为:
- 默认格式: CEF
- 默认传递: 每个事件
- 默认发送为: 警报
Forcepoint CASB
设置安全解决方案以将 CEF 格式的 syslog 消息发送到代理计算机。 请确保将日志发送到计算机 IP 地址上的端口 514 TCP。
Forcepoint CSG
通过两个实现选项提供集成:
Forcepoint NGFW
设置安全解决方案以将 CEF 格式的 syslog 消息发送到代理计算机。 请确保将日志发送到计算机 IP 地址上的端口 514 TCP。
适用于 CEF 的 ForgeRock Common Audit
在 ForgeRock 中,根据文档 https://github.com/javaservlets/SentinelAuditEventHandlerMicrosoft Sentinel 安装和配置此通用审核(CAUD)。 接下来,在 Azure 中,按照步骤通过 AMA 数据连接器配置 CEF。
iboss
将威胁控制台设置为将 CEF 格式的 syslog 消息发送到 Azure 工作区。 记下 Log Analytics 工作区中的工作区 ID 和 主密钥 。 请从 Azure 门户中的“Log Analytics 工作区”菜单中选择该工作区。 然后在“设置”部分选择“代理管理”。
- 导航到 iboss 控制台内的 Reporting & Analytics 。
- 从记者选择日志转发>。
- 选择“操作>添加服务”。
- 切换到Microsoft Sentinel 即 服务类型 ,并输入 工作区 ID/主密钥 以及其他条件。 如果配置了专用代理 Linux 计算机,请切换到 Syslog 即 服务类型 ,并将设置配置为指向专用代理 Linux 计算机。
- 等待一到两分钟才能完成设置。
- 选择Microsoft Sentinel 服务,并验证Microsoft Sentinel 设置状态是否成功。 如果配置了专用代理 Linux 计算机,则可以验证连接。
Illumio Core
配置事件格式。
- 在 PCE Web 控制台菜单中,选择“设置”>“事件设置”以查看当前设置。
- 选择“编辑”以更改设置。
- 将“事件格式”设置为 CEF。
- (可选)配置事件严重性和保持期。
配置事件转发到外部 syslog 服务器。
- 在 PCE Web 控制台菜单中,选择“设置>事件设置”。
- 选择 添加 。
- 选择“ 添加存储库”。
- 完成“添加存储库”对话框。
- 选择“确定”保存事件转发配置。
Illusive Platform
设置安全解决方案以将 CEF 格式的 syslog 消息发送到代理计算机。 请确保将日志发送到计算机 IP 地址上的端口 514 TCP。
登录到 Illusive 控制台,并导航到“设置>报告”。
查找 Syslog 服务器。
提供以下信息:
- 主机名: Linux Syslog 代理 IP 地址或 FQDN 主机名
- 端口: 514
- 协议:TCP
- 审核消息: 将审核消息发送到服务器
若要添加 syslog 服务器,请选择“ 添加”。
有关如何在 Illusive 平台中添加新的 syslog 服务器的详细信息,请参阅此处的 Illusive Networks 管理员指南: https://support.illusivenetworks.com/hc/en-us/sections/360002292119-Documentation-by-Version
Imperva WAF 网关
此连接器需要在 Imperva SecureSphere MX 上创建操作接口 和 操作集 。 按照步骤 创建要求。
- 创建一个新的 操作接口 ,其中包含将 WAF 警报发送到 Microsoft Sentinel 所需的参数。
- 创建使用配置的操作接口的新操作集。
- 将操作集应用于想要将警报发送到 Microsoft Sentinel 的任何安全策略。
Infoblox 云数据连接器
完成以下步骤,将 Infoblox CDC 配置为通过 Linux syslog 代理将 BloxOne 数据发送到 Microsoft Sentinel。
- 导航到 “管理>数据连接器”。
- 选择 顶部的“目标配置 ”选项卡。
- 选择“ 创建 > Syslog”。
- 名称:为新目标指定有意义的名称,例如 Microsoft-Sentinel-Destination。
- 说明:(可选)为它提供有意义的说明。
- 状态:将状态设置为“已启用”。
- 格式:将格式设置为“CEF”。
- FQDN/IP:输入安装 Linux 代理的 Linux 设备的 IP 地址。
- 端口:将端口号保留为 514。
- 协议:选择所需的协议和 CA 证书(如果适用)。
- 选择保存并关闭。
- 选择顶部的 “流量配置 ”选项卡。
- 选择创建。
- 名称:为新的流量流指定有意义的名称,例如 Microsoft-Sentinel-Flow。
- 说明:(可选)为它提供有意义的说明。
- 状态:将状态设置为“已启用”。
- 展开“服务实例”部分。
- 服务实例:选择为其启用了数据连接器服务的所需服务实例。
- 展开“源配置”部分。
- 源:选择“BloxOne 云源”。
- 选择要收集的所有所需日志类型。 目前支持的日志类型为:
- Threat Defense 查询/响应日志
- Threat Defense 威胁源命中日志
- DDI 查询/响应日志
- DDI DHCP 租用日志
- 展开“目标配置”部分。
- 选择所创建的目标。
- 选择保存并关闭。
- 等待一段时间以激活配置。
Infoblox SOC 见解
完成以下步骤,将 Infoblox CDC 配置为通过 Linux syslog 代理将 BloxOne 数据发送到 Microsoft Sentinel。
- 导航到“管理”>“数据连接器”。
- 选择 顶部的“目标配置 ”选项卡。
- 选择“ 创建 > Syslog”。
- 名称:为新目标指定有意义的名称,例如 Microsoft-Sentinel-Destination。
- 说明:(可选)为它提供有意义的说明。
- 状态:将状态设置为“已启用”。
- 格式:将格式设置为“CEF”。
- FQDN/IP:输入安装 Linux 代理的 Linux 设备的 IP 地址。
- 端口:将端口号保留为 514。
- 协议:选择所需的协议和 CA 证书(如果适用)。
- 选择保存并关闭。
- 选择顶部的 “流量配置 ”选项卡。
- 选择创建。
- 名称:为新的流量流指定有意义的名称,例如 Microsoft-Sentinel-Flow。
- 说明(可选):为新目标提供有意义的说明。
- 状态:将状态设置为“已启用”。
- 展开“服务实例”部分。
- 服务实例:选择要为其启用数据连接器服务的所需服务实例。
- 展开“源配置”部分。
- 源:选择“BloxOne 云源”。
- 选择 “内部通知 日志类型”。
- 展开“目标配置”部分。
- 选择所创建的目标。
- 选择保存并关闭。
- 等待一段时间以激活配置。
卡巴斯基SecurityCenter
按照说明从 Kaspersky Security Center 配置事件导出。
Morphisec
设置安全解决方案以将 CEF 格式的 syslog 消息发送到代理计算机。 请确保将日志发送到计算机 IP 地址上的端口 514 TCP。
Netwrix 审核员
按照说明 从 Netwrix Auditor 配置事件导出。
NozomiNetworks
完成以下步骤,将 Nozomi Networks 设备配置为以 CEF 格式通过 syslog 发送警报、审核和运行状况日志:
- 登录到《卫报》控制台。
- 导航到“管理>数据集成。
- 选择“+添加” 。
- 从下拉列表中选择通用事件格式(CEF)。
- 使用适当的主机信息创建新 终结点 。
- 启用 用于发送的警报、 审核日志和 运行状况日志 。
Onapsis 平台
请参阅 Onapsis 产品内帮助,以设置日志转发到 syslog 代理。
转到“设置>第三方集成>保护警报”,并按照Microsoft Sentinel 的说明进行操作。
确保 Onapsis 控制台可以访问安装了代理的代理计算机。 日志应使用 TCP 发送到端口 514。
OSSEC
按照以下步骤配置 OSSEC 通过 syslog 发送警报。
Palo Alto - XDR (Cortex)
将 Palo Alto XDR (Cortex) 配置为通过 syslog 代理将 CEF 格式的消息转发到 Microsoft Sentinel 工作区。
- 转到 Cortex 设置和配置。
- 选择以在“外部应用程序”下添加新服务器。
- 然后指定名称,并在目标中为 syslog 服务器提供公共 IP。
- 将 端口号 指定为 514。
- 从 “设施” 字段中,从下拉列表中选择 FAC_SYSLOG 。
- 选择“ 协议 ”作为 UDP。
- 选择创建。
PaloAlto-PAN-OS
将 Palo Alto Networks 配置为通过 syslog 代理将 syslog 消息以 CEF 格式转发到 Microsoft Sentine 工作区。
转到 Palo Alto CEF 配置和 Palo Alto 配置 Syslog 监视步骤 2、3,选择版本,然后按照以下指南的说明进行操作:
- 将“Syslog 服务器格式”设置为“BSD”。
- 将文本复制到编辑器,并移除可能中断日志格式的任何字符,然后再粘贴文本。 PDF 中的复制/粘贴操作可能会更改文本并插入随机字符。
PaloAltoCDL
按照说明配置从 Cortex Data Lake 转发到 syslog 服务器的日志。
PingFederate
按照以下步骤配置 PingFederate 以 CEF 格式通过 syslog 发送审核日志。
RidgeSecurity
按此处所述将 RidgeBot 配置为将事件转发到 syslog 服务器。 为应用程序生成一些攻击事件。
SonicWall 防火墙
将 SonicWall 防火墙设置为将 CEF 格式的 syslog 消息发送到代理计算机。 请确保将日志发送到计算机 IP 地址上的 514 TCP 端口。
按照说明操作。 然后,请确保选择“本地使用 4”作为设施。 然后选择 ArcSight 作为 syslog 格式。
Trend Micro Apex One
按照以下步骤配置 Apex Central 通过 syslog 发送警报。 配置时,在步骤 6 中,选择日志格式 CEF。
Trend Micro Deep Security
设置安全解决方案以将 CEF 格式的 syslog 消息发送到代理计算机。 确保将日志发送到计算机 IP 地址上的端口 514 TCP。
- 将 Trend Micro Deep Security 事件转发到 syslog 代理。
- 通过参考此知识库文章以获取其他信息,定义使用 CEF 格式的新 syslog 配置。
- 配置“深度安全管理器”,以使用此新配置按照这些说明将事件转发到 syslog 代理。
- 请确保保存 TrendMicroDeepSecurity 函数,以便它正确查询 Trend Micro Deep Security 数据。
Trend Micro TippingPoint
将 TippingPoint SMS 设置为将 ArcSight CEF 格式 v4.2 格式的 syslog 消息发送到代理计算机。 请确保将日志发送到计算机 IP 地址上的端口 514 TCP。
vArmour 应用程序控制器
将 CEF 格式的 syslog 消息发送到代理计算机。 请确保将日志发送到计算机 IP 地址上的端口 514 TCP。
从 https://support.varmour.com/hc/en-us/articles/360057444831-vArmour-Application-Controller-6-0-User-Guide 下载用户指南。 在用户指南中,请参阅“为监视和违规配置 Syslog”,并遵循步骤 1 到 3。
Vectra AI Detect
将 Vectra (X 系列) 代理配置为通过 syslog 代理将 CEF 格式的 syslog 消息转发到 Microsoft Sentinel 工作区。
在 Vectra UI 中,导航到“设置通知” > 和“编辑 syslog 配置”。 请按照以下说明设置连接:
- 添加新的目标(这是运行 Microsoft Sentinel syslog 代理的主机)。
- 将 端口 设置为 514。
- 将 协议 设置为 UDP。
- 将 格式 设置为 CEF。
- 设置 日志类型。 选择所有可用的日志类型。
- 选择“保存”。
- 选择 “测试 ”按钮以发送一些测试事件。
有关详细信息,请参阅“Cognito Detect Syslog 指南”(可从 Detect UI 中的资源页下载)。
Votiro
将 Votiro 终结点设置为将 CEF 格式的 syslog 消息发送到转发器计算机。 请确保将日志发送到转发器计算机的 IP 地址上的端口 514 TCP。
WireX Network Forensics Platform
请联系 WireX 支持人员(https://wirexsystems.com/contact-us/)将 NFP 解决方案配置为将 CEF 格式的 syslog 消息发送到代理计算机。 确保中心管理器可以将日志发送到计算机 IP 地址上的端口 514 TCP。
WithSecure Elements via Connector
将 WithSecure Elements 连接器设备连接到 Microsoft Sentinel。 借助 WithSecure Elements Connector 数据连接器,可以轻松将 WithSecure Elements 日志与 Microsoft Sentinel 连接,以查看仪表板、创建自定义警报和改进调查。
注意
数据存储在运行 Microsoft Sentinel 的工作区的地理位置。
使用安全元素连接器配置,以便通过 syslog 代理将 CEF 格式的 syslog 消息转发到 Log Analytics 工作区。
- 选择或创建 Linux 计算机,以便Microsoft Sentinel 用作 WithSecurity 解决方案与 Microsoft Sentinel 之间的代理。 计算机可以是本地环境、Microsoft Azure 或其他基于云的环境。 在 Linux 上需要安装
syslog-ng
和python
/python3
。 - 在 Linux 计算机上安装 Azure Monitoring Agent (AMA),并将计算机配置为侦听所需的端口并将消息转发到 Microsoft Sentinel 工作区。 CEF 收集器在 TCP 端口 514 上收集 CEF 消息。 你必须在计算机上拥有提升的权限 (sudo)。
- 在 WithSecure Elements 门户中转到 EPP 。 然后导航到 “下载”。 在 “元素连接器 ”部分中,选择“ 创建订阅密钥”。 可以在订阅中检查订阅密钥。
- 在“WithSecure Elements Connector”部分中的“下载”部分中,选择正确的安装程序并下载它。
- 在 EPP 中时,从右上角打开帐户设置。 然后选择“ 获取管理 API 密钥”。 如果之前创建了密钥,也可以在此处读取该密钥。
- 若要安装 Elements Connector,请遵循 Elements Connector Docs。
- 如果在安装过程中未配置 API 访问,请按照配置 Elements Connector 的 API 访问操作。
- 转到 EPP,然后配置文件,然后使用连接器从中查看连接器配置文件。 创建新的配置文件(或编辑现有的非只读配置文件)。 在事件转发中,启用它。 设置 SIEM 系统地址: 127.0.0.1:514。 将格式设置为“通用事件格式”。 协议为 TCP。 保存配置文件并将其分配给“设备”选项卡中的“元素连接器”。
- 若要在 Log Analytics 中将相关架构用于 WithSecure Elements Connector,请搜索 CommonSecurityLog。
- 继续 验证 CEF 连接。
Zscaler
将 Zscaler 产品设置为将 CEF 格式的 syslog 消息发送到 syslog 代理。 确保在端口 514 TCP 上发送日志。
有关详细信息,请参阅 Zscaler Microsoft Sentinel 集成指南。