你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

通过 AMA 的 Syslog 数据连接器 - 配置特定设备以进行 Microsoft Sentinel 数据引入

Syslog 通过 Microsoft Sentinel 中的 AMA 数据连接器支持来自许多安全设备和设备的日志收集。 本文列出了提供商为使用此数据连接器的特定安全设备提供的安装说明。 请联系提供商以获取更新、详细信息,或信息不适用于你的安全设备的情况。

要将数据转发到 Microsoft Sentinel 的 Log Analytics 工作区,请完成使用 Azure Monitor 代理将 Syslog 和 CEF 消息引入 Microsoft Sentinel 中的步骤。 完成这些步骤后,请在 Microsoft Sentinel 中通过 AMA 数据连接器安装 Syslog。 然后,使用本文中相应提供商的说明完成设置。

有关其中每个设备或设备的相关Microsoft Sentinel 解决方案的详细信息,请在Azure 市场中搜索产品类型>解决方案模板,或从 Microsoft Sentinel 中的内容中心查看解决方案。

Barracuda CloudGen 防火墙

按照说明配置 syslog 流式处理。 将 Linux 计算机的 IP 地址或主机名与为目标 IP 地址安装的 Microsoft Sentinel 代理配合使用。

Blackberry CylancePROTECT

按照以下说明配置 CylancePROTECT 以转发 Syslog。 使用安装为 目标 IP 地址的 Linux 代理的 Linux 设备的 IP 地址或主机名。

以 Cisco 应用程序为中心的基础结构 (ACI)

将 Cisco ACI 系统配置为通过 syslog 将日志发送到安装代理的远程服务器。 按照以下步骤配置 Syslog 目标目标组Syslog 源

此数据连接器是使用 Cisco ACI 版本 1.x 开发的。

Cisco Identity Services 引擎 (ISE)

按照这些说明操作,以在 Cisco ISE 部署中配置远程 syslog 集合位置。

Cisco Stealthwatch

完成以下配置步骤,将 Cisco Stealthwatch 日志获取到 Microsoft Sentinel。

  1. 以管理员身份登录到 Stealthwatch 管理控制台(SMC)。

  2. 在菜单栏中,选择“ 配置>响应管理”。

  3. 从“响应管理”菜单中的“操作”部分,选择“添加 > Syslog 消息”。

  4. “添加 Syslog 消息操作 ”窗口中,配置参数。

  5. 输入以下自定义格式:

    |Lancope|Stealthwatch|7.3|{alarm_type_id}|0x7C|src={source_ip}|dst={target_ip}|dstPort={port}|proto={protocol}|msg={alarm_type_description}|fullmessage={details}|start={start_active_time}|end={end_active_time}|cat={alarm_category_name}|alarmID={alarm_id}|sourceHG={source_host_group_names}|targetHG={target_host_group_names}|sourceHostSnapshot={source_url}|targetHostSnapshot={target_url}|flowCollectorName={device_name}|flowCollectorIP={device_ip}|domain={domain_name}|exporterName={exporter_hostname}|exporterIPAddress={exporter_ip}|exporterInfo={exporter_label}|targetUser={target_username}|targetHostname={target_hostname}|sourceUser={source_username}|alarmStatus={alarm_status}|alarmSev={alarm_severity_name}

  6. 从列表中选择自定义格式,然后 确定

  7. 选择“ 响应管理 > 规则”。

  8. 选择“添加”和主机警报”。

  9. 在“名称”字段中提供规则名称。

  10. 通过从“类型和选项”菜单中选择值来创建规则。 若要添加更多规则,请选择省略号图标。 对于主机警报,请尽可能多地组合在一个语句中。

此数据连接器是使用 Cisco Stealthwatch 版本 7.3.2 开发的

Cisco Unified Computing Systems (UCS)

按照以下说明操作,将 Cisco UCS 配置为转发 Syslog。 使用安装为 目标 IP 地址的 Linux 代理的 Linux 设备的 IP 地址或主机名。

注意

此数据连接器的功能依赖于基于 Kusto 函数的分析程序,这是其操作不可或缺的一部分。 此分析器部署为解决方案安装的一部分。

更新分析程序,并指定源计算机的主机名,并在分析器的第一行中传输日志。

若要访问 Log Analytics 中的函数代码,请导航到 Log Analytics/Microsoft Sentinel Logs 部分,选择“函数”,然后搜索别名 CiscoUCS。 或者,直接加载 函数代码。 安装后可能需要大约 15 分钟才能更新。

Cisco Web 安全设备 (WSA)

将 Cisco 配置为通过 syslog 将日志转发到安装代理的远程服务器。 按照以下步骤将 Cisco WSA 配置为通过 Syslog 转发日志

选择 Syslog 推送 作为检索方法。

此数据连接器是使用 AsyncOS 14.0 for Cisco Web Security Appliance 开发的

Citrix 应用程序传送控制器 (ADC)

将 Citrix ADC(前 NetScaler)配置为通过 Syslog 转发日志。

  1. 导航到 “配置”选项卡 > “系统 > 审核 > Syslog > 服务器”选项卡
  2. 指定 Syslog 操作名称
  3. 设置远程 Syslog 服务器和端口的 IP 地址。
  4. 根据远程 syslog 服务器配置将传输类型设置为 TCPUDP
  5. 有关详细信息,请参阅 Citrix ADC(前 NetScaler)文档

注意

此数据连接器的功能依赖于基于 Kusto 函数的分析程序,这是其操作不可或缺的一部分。 此分析器部署为解决方案安装的一部分。 若要访问 Log Analytics 中的函数代码,请导航到 Log Analytics/Microsoft Sentinel Logs 部分,选择 Functions,然后搜索别名 CitrixADCEvent。 或者,可以直接加载 函数代码。 安装后可能需要大约 15 分钟才能更新。

此分析程序需要名为 <a0/a0> 的监视列表。

i. 如果尚未创建监视列表,请在Azure 门户中创建Microsoft Sentinel 的监视列表。

ii. 打开监视列表 Sources_by_SourceType 并添加此数据源的条目。

ii. CitrixADC 的 SourceType 值为 CitrixADC。 有关详细信息,请参阅 管理高级安全信息模型(ASIM)分析程序

Digital Guardian 数据丢失防护

完成以下步骤,将 Digital Guardian 配置为通过 Syslog 转发日志:

  1. 登录到数字保护者管理控制台。
  2. 选择“工作区”>“数据导出”>“创建导出”。
  3. 从“数据源”列表中,选择“警报”或“事件”作为数据源。
  4. 从“导出类型”列表中,选择“Syslog”。
  5. 从类型列表中选择 UDP 或 TCP 作为传输协议。
  6. “服务器” 字段中,键入远程 syslog 服务器的 IP 地址。
  7. “端口 ”字段中,键入 514(如果 syslog 服务器配置为使用非默认端口),则键入其他端口。
  8. 从“严重级别”列表中选择严重性级别。
  9. 选中“处于活动状态”复选框。
  10. 选择下一步
  11. 从可用字段列表中,为数据导出添加“警报”或“事件”字段。
  12. 为数据导出和 下一步中的字段选择条件。
  13. 选择条件和 “下一步”的组。
  14. 选择“ 测试查询”。
  15. 选择下一步
  16. 保存数据导出。

ESET Protect 集成

配置 ESET PROTECT 以通过 Syslog 发送所有事件。

  1. 按照这些说明配置 Syslog 输出。 确保选择“BSD”作为格式,选择“TCP”作为传输。
  2. 按照这些说明将所有日志导出到 Syslog。 选择“JSON”作为输出格式。

Exabeam 高级分析

按照这些说明通过 syslog 发送 Exabeam Advanced Analytics 活动日志数据。

此数据连接器是使用 Exabeam Advanced Analytics i54 (Syslog) 开发的

Forescout

完成以下步骤,将 Forescout 日志导入 Microsoft Sentinel。

  1. 选择要配置的设备。
  2. 按照这些说明将 Forescout 平台中的警报转发到 syslog 服务器。
  3. “Syslog 触发器”选项卡中配置设置。

此数据连接器是使用 Forescout Syslog 插件版本开发的:v3.6

Gitlab

按照以下说明 通过 syslog 发送 Gitlab 审核日志数据。

ISC Bind

  1. 按照以下说明配置 ISC 绑定以转发 syslog: DNS 日志
  2. 配置 syslog 以将 syslog 流量发送到代理。 使用安装为 目标 IP 地址的 Linux 代理的 Linux 设备的 IP 地址或主机名。

Infoblox 网络标识操作系统 (NIOS)

按照这些说明启用 Infoblox NIOS 日志的 syslog 转发。 使用安装为 目标 IP 地址的 Linux 代理的 Linux 设备的 IP 地址或主机名。

注意

此数据连接器的功能依赖于基于 Kusto 函数的分析程序,这是其操作不可或缺的一部分。 此分析器部署为解决方案安装的一部分。

若要访问 Log Analytics 中的函数代码,请导航到 Log Analytics/Microsoft Sentinel Logs 部分,选择 Functions,然后搜索别名 Infoblox。 或者,可以直接加载 函数代码。 安装后可能需要大约 15 分钟才能更新。

此分析程序需要名为 <a0/a0> 的监视列表。

i. 如果尚未创建监视列表,请在Azure 门户中创建Microsoft Sentinel 的监视列表。

ii. 打开监视列表 Sources_by_SourceType 并添加此数据源的条目。

ii. InfobloxNIOS InfobloxNIOS的 SourceType 值为 。

有关详细信息,请参阅 管理高级安全信息模型(ASIM)分析程序

Ivanti 统一终结点管理

按照说明设置警报操作以将日志发送到 syslog 服务器。

此数据连接器是使用 Ivanti Unified Endpoint Management 版本 2021.1 版本 11.0.3.374 开发的

Juniper SRX

  1. 完成以下说明,将 Juniper SRX 配置为转发 syslog:

  2. 使用安装为 目标 IP 地址的 Linux 代理的 Linux 设备的 IP 地址或主机名。

McAfee Network Security Platform

完成以下配置步骤,将 McAfee® 网络安全平台日志导入 Microsoft Sentinel。

  1. 将警报从管理器转发到 syslog 服务器。

  2. 必须添加 syslog 通知配置文件。 创建配置文件时,若要确保事件格式正确,请在“消息”文本框中输入以下文本:

    <SyslogAlertForwarderNSP>:|SENSOR_ALERT_UUID|ALERT_TYPE|ATTACK_TIME|ATTACK_NAME|ATTACK_ID |ATTACK_SEVERITY|ATTACK_SIGNATURE|ATTACK_CONFIDENCE|ADMIN_DOMAIN|SENSOR_NAME|INTERFACE |SOURCE_IP|SOURCE_PORT|DESTINATION_IP|DESTINATION_PORT|CATEGORY|SUB_CATEGORY |DIRECTION|RESULT_STATUS|DETECTION_MECHANISM|APPLICATION_PROTOCOL|NETWORK_PROTOCOL|

此数据连接器是使用 McAfee® 网络安全平台版本 10.1.x 开发的。

McAfee ePolicy Orchestrator

有关如何注册 syslog 服务器的指南,请联系提供商。

Microsoft Sysmon For Linux

此数据连接器依赖基于 Kusto 函数的 ASIM 分析程序来按预期运行。 部署分析程序

部署了以下函数:

  • vimFileEventLinuxSysmonFileCreated、vimFileEventLinuxSysmonFileDeleted
  • vimProcessCreateLinuxSysmon、vimProcessTerminateLinuxSysmon
  • vimNetworkSessionLinuxSysmon

了解详细信息

Nasuni

按照 Nasuni 管理控制台指南中的说明配置 Nasuni Edge Appliances 以转发 syslog 事件。 在 syslog 设置的“服务器配置”字段中,使用运行 Azure Monitor 代理的 Linux 设备的 IP 地址或主机名。

OpenVPN

在转发 OpenVPN 的服务器上安装代理。 OpenVPN 服务器日志将写入常见的 syslog 文件(具体取决于使用的 Linux 分发版,例如 /var/log/messages)。

Oracle Database Audit

完成以下步骤。

  1. 创建 Oracle 数据库 请按照这些步骤操作。
  2. 登录到创建的 Oracle 数据库。 执行这些步骤
  3. 通过更改系统以启用统一日志记录启用基于 syslog 的统一日志记录 请按照这些步骤操作。
  4. 创建并启用审核策略以实现统一审核 请按照这些步骤操作。
  5. 启用 syslog 和事件查看器将捕获统一审核线索 请按照这些步骤操作。

Pulse Connect Secure

按照说明启用 Pulse Connect Secure 日志的 syslog 流式处理。 使用安装为 目标 IP 地址的 Linux 代理的 Linux 设备的 IP 地址或主机名。

注意

此数据连接器的功能依赖于基于 Kusto 函数的分析程序,这是其操作不可或缺的一部分。 此分析器部署为解决方案安装的一部分。

更新分析程序,并指定源计算机的主机名,并在分析器的第一行中传输日志。

若要访问 Log Analytics 中的函数代码,请导航到 Log Analytics/Microsoft Sentinel Logs 部分,选择 Functions,然后搜索别名 PulseConnectSecure。 或者,直接加载 函数代码。 安装后可能需要大约 15 分钟才能更新。

RSA SecurID

完成以下步骤,将 RSA® SecurID 身份验证管理器日志导入 Microsoft Sentinel。 按照这些说明将 Manager 中的警报转发到 syslog 服务器。

注意

此数据连接器的功能依赖于基于 Kusto 函数的分析程序,这是其操作不可或缺的一部分。 此分析器部署为解决方案安装的一部分。

更新分析程序,并指定源计算机的主机名,并在分析器的第一行中传输日志。

若要访问 Log Analytics 中的函数代码,请导航到 Log Analytics/Microsoft Sentinel Logs 部分,选择 Functions,然后搜索别名 RSASecurIDAMEvent。 或者,可以直接加载 函数代码。 安装后可能需要大约 15 分钟才能更新。

此数据连接器是使用 RSA SecurID 身份验证管理器版本开发的:8.4 和 8.5

Sophos XG 防火墙

按照这些说明启用 syslog 流式处理。 使用安装为 目标 IP 地址的 Linux 代理的 Linux 设备的 IP 地址或主机名。

注意

此数据连接器的功能依赖于基于 Kusto 函数的分析程序,这是其操作不可或缺的一部分。 此分析器部署为解决方案安装的一部分。

更新分析程序,并指定源计算机的主机名,并在分析器的第一行中传输日志。 若要访问 Log Analytics 中的函数代码,请导航到 Log Analytics/Microsoft Sentinel Logs 部分,选择 Functions,然后搜索别名 SophosXGFirewall。 或者,直接加载 函数代码。 安装后可能需要大约 15 分钟才能更新。

Symantec Endpoint Protection

按照这些说明将 Symantec Endpoint Protection 配置为转发 syslog。 使用安装为 目标 IP 地址的 Linux 代理的 Linux 设备的 IP 地址或主机名。

注意

此数据连接器的功能依赖于基于 Kusto 函数的分析程序,这是其操作不可或缺的一部分。 此分析器部署为解决方案安装的一部分。

更新分析程序,并指定源计算机的主机名,并在分析器的第一行中传输日志。 若要访问 Log Analytics 中的函数代码,请导航到 Log Analytics/Microsoft Sentinel Logs 部分,选择 Functions,然后搜索别名 SymantecEndpointProtection。 或者,可以直接加载 函数代码。 安装后可能需要大约 15 分钟才能更新。

Symantec ProxySG

  1. 登录到 Blue Coat 管理控制台。

  2. 选择“配置>访问日志记录>格式”。

  3. 选择“新建”。

  4. “格式名称 ”字段中输入唯一名称。

  5. 选择自定义格式字符串的单选按钮,并将以下字符串粘贴到字段中。

    1 $(date) $(time) $(time-taken) $(c-ip) $(cs-userdn) $(cs-auth-groups) $(x-exception-id) $(sc-filter-result) $(cs-categories) $(quot)$(cs(Referer))$(quot) $(sc-status) $(s-action) $(cs-method) $(quot)$(rs(Content-Type))$(quot) $(cs-uri-scheme) $(cs-host) $(cs-uri-port) $(cs-uri-path) $(cs-uri-query) $(cs-uri-extension) $(quot)$(cs(User-Agent))$(quot) $(s-ip) $(sr-bytes) $(rs-bytes) $(x-virus-id) $(x-bluecoat-application-name) $(x-bluecoat-application-operation) $(cs-uri-port) $(x-cs-client-ip-country) $(cs-threat-risk)

  6. 选择“确定”

  7. 选择“ 应用n”。

  8. 按照以下说明启用 Access 日志的 syslog 流式处理。 将 Linux 设备的 IP 地址或主机名与安装为目标 IP 地址的 Linux 代理配合使用

注意

此数据连接器的功能依赖于基于 Kusto 函数的分析程序,这是其操作不可或缺的一部分。 此分析器部署为解决方案安装的一部分。

更新分析程序,并指定源计算机的主机名,并在分析器的第一行中传输日志。

若要访问 Log Analytics 中的函数代码,请导航到 Log Analytics/Microsoft Sentinel Logs 部分,选择 Functions,然后搜索别名 SymantecProxySG。 或者,直接加载 函数代码。 安装后可能需要大约 15 分钟才能更新。

Symantec VIP

按照这些说明将 Symantec VIP 企业网关配置为转发 syslog。 使用安装为 目标 IP 地址的 Linux 代理的 Linux 设备的 IP 地址或主机名。

注意

此数据连接器的功能依赖于基于 Kusto 函数的分析程序,这是其操作不可或缺的一部分。 此分析器部署为解决方案安装的一部分。

更新分析程序,并指定源计算机的主机名,并在分析器的第一行中传输日志。

若要访问 Log Analytics 中的函数代码,请导航到 Log Analytics/Microsoft Sentinel Logs 部分,选择 Functions,然后搜索别名 SymantecVIP。 或者,直接加载 函数代码。 安装后可能需要大约 15 分钟才能更新。

VMware ESXi

  1. 按照以下说明操作,将 VMware ESXi 配置为转发 syslog:

  2. 使用安装为 目标 IP 地址的 Linux 代理的 Linux 设备的 IP 地址或主机名。

注意

此数据连接器的功能依赖于基于 Kusto 函数的分析程序,这是其操作不可或缺的一部分。 此分析器部署为解决方案安装的一部分。

更新分析程序,并指定源计算机的主机名,并在分析器的第一行中传输日志。

若要访问 Log Analytics 中的函数代码,请导航到 Log Analytics/Microsoft Sentinel Logs 部分,选择 Functions,然后搜索别名 VMwareESXi。 或者,直接加载 函数代码。 安装后可能需要大约 15 分钟才能更新。

WatchGuard Firebox

按照以下说明 通过 syslog 发送 WatchGuard Firebox 日志数据。