CEF prostřednictvím datového konektoru AMA – Konfigurace konkrétního zařízení nebo zařízení pro příjem dat z Microsoft Sentinelu

Shromažďování protokolů z mnoha bezpečnostních zařízení a zařízení podporuje common event Format (CEF) prostřednictvím datového konektoru AMA v Microsoft Sentinelu. Tento článek uvádí pokyny k instalaci poskytované poskytovatelem pro konkrétní bezpečnostní zařízení a zařízení, která používají tento datový konektor. Požádejte poskytovatele o aktualizace, další informace nebo informace o nedostupnosti vašeho zabezpečovacího zařízení nebo zařízení.

Pokud chcete ingestovat data do pracovního prostoru služby Log Analytics pro Microsoft Sentinel, proveďte kroky v Ingestování zpráv syslogu a CEF do Microsoft Sentinelu pomocí agenta služby Azure Monitor. Mezi tyto kroky patří instalace formátu CEF (Common Event Format) prostřednictvím datového konektoru AMA v Microsoft Sentinelu. Po instalaci konektoru postupujte podle pokynů pro vaše zařízení, které jsou uvedené dále v tomto článku, a dokončete instalaci.

Další informace o souvisejícím řešení Microsoft Sentinel pro každé z těchto zařízení nebo zařízení najdete v Azure Marketplace a vyhledejte šablony řešení typu>produktu nebo si projděte řešení z centra obsahu v Microsoft Sentinelu.

Důležité

Microsoft Sentinel je teď obecně dostupný na portálu Microsoft Defenderu na sjednocené platformě operací zabezpečení Microsoftu. Další informace najdete v tématu Microsoft Sentinel na portálu Microsoft Defender.

Darktrace analytika AI

Nakonfigurujte darktrace pro předávání zpráv syslogu ve formátu CEF do pracovního prostoru Azure prostřednictvím agenta syslogu.

  1. V rámci Vizualizéru hrozeb darktrace přejděte v hlavní nabídce v části Správce na stránku Konfigurace systému.
  2. V nabídce vlevo vyberte Moduly a zvolte Microsoft Sentinel z dostupných integrací pracovních postupů.
  3. Vyhledejte CEF syslog služby Microsoft Sentinel a výběrem možnosti Nový zobrazte nastavení konfigurace, pokud ještě není dostupná.
  4. Do pole Konfigurace serveru zadejte umístění nástroje pro předávání protokolů a volitelně upravte komunikační port. Ujistěte se, že je vybraný port nastavený na 514 a že je povolený všemi zprostředkujícími bránami firewall.
  5. Podle potřeby nakonfigurujte prahové hodnoty upozornění, časové posuny nebo jiná nastavení.
  6. Zkontrolujte všechny další možnosti konfigurace, které byste mohli chtít povolit, aby se změnila syntaxe syslogu.
  7. Povolte odesílání výstrah a uložte změny.

Události zabezpečení Akamai

Podle těchto kroků nakonfigurujte konektor CEF Akamai tak, aby do proxy počítače odesílal zprávy syslogu ve formátu CEF. Nezapomeňte protokoly odeslat na port 514 TCP na IP adrese počítače.

AristaAwakeSecurity

Provedením následujících kroků přeposílání nežádoucího modelu Probuzený nežádoucí model se výsledky shodují s kolektorem CEF na portu TCP 514 na IP adrese 192.168.0.1:

  1. Přejděte na stránku Dovednosti správy detekce v uživatelském rozhraní Probuzené.
  2. Vyberte + Přidat novou dovednost.
  3. Nastavit výraz na integrations.cef.tcp { destination: "192.168.0.1", port: 514, secure: false, severity: Warning }
  4. Nastavte název na popisný název, například výsledek shody nežádoucího modelu pro probuzení s Microsoft Sentinelem.
  5. Nastavte identifikátor odkazu na něco snadno zjistitelného, například integrations.cef.sentinel-forwarder.
  6. Zvolte Uložit.

Během několika minut od uložení definice a dalších polí začne systém posílat výsledky shody nového modelu do kolektoru událostí CEF při jejich zjištění.

Další informace najdete na stránce Přidání informací o zabezpečení a nabízení integrace správy událostí z dokumentace nápovědy v uživatelském rozhraní Probuzené.

Aruba ClearPass

Nakonfigurujte Aruba ClearPass pro předávání zpráv syslogu ve formátu CEF do pracovního prostoru Služby Microsoft Sentinel prostřednictvím agenta syslogu.

  1. Podle těchto pokynů nakonfigurujte Aruba ClearPass pro předávání syslogu.
  2. Použijte IP adresu nebo název hostitele pro zařízení s Linuxem s agentem Linuxu nainstalovaným jako cílovou IP adresu.

Barracuda WAF

Firewall webových aplikací Barracuda může integrovat a exportovat protokoly přímo do Služby Microsoft Sentinel prostřednictvím agenta monitorování Azure (AMA).

  1. Přejděte do konfigurace Barracuda WAF a podle pokynů nastavte připojení pomocí následujících parametrů.

  2. Zařízení protokolů webové brány firewall: Přejděte na upřesňující nastavení vašeho pracovního prostoru a na kartách Syslog dat>. Ujistěte se, že zařízení existuje.

Všimněte si, že data ze všech oblastí jsou uložená ve vybraném pracovním prostoru.

Broadcom SymantecDLP

Nakonfigurujte Symantec DLP pro předávání zpráv syslogu ve formátu CEF do pracovního prostoru Služby Microsoft Sentinel prostřednictvím agenta syslogu.

  1. Podle těchto pokynů nakonfigurujte Symantec DLP pro předávání syslogu.
  2. Použijte IP adresu nebo název hostitele pro zařízení s Linuxem s agentem Linuxu nainstalovaným jako cílovou IP adresu.

Cisco Firepower EStreamer

Nainstalujte a nakonfigurujte klienta Firepower eNcore eStreamer. Další informace najdete v úplném průvodci instalací.

CiscoSEG

Provedením následujících kroků nakonfigurujte Cisco Secure Email Gateway tak, aby předával protokoly přes syslog:

  1. Konfigurace předplatného protokolu
  2. V poli Typ protokolu vyberte Konsolidované protokoly událostí.

Citrix Web App Firewall

Nakonfigurujte Citrix WAF tak, aby do proxy počítače odesílala zprávy syslogu ve formátu CEF.

  • Najděte průvodce konfigurací protokolů WAF a CEF z podpory Citrixu.

  • Podle tohoto průvodce předáte protokoly na proxy server. Nezapomeňte odeslat protokoly na port 514 TCP na IP adrese počítače s Linuxem.

Claroty

Nakonfigurujte předávání protokolů pomocí CEF.

  1. V nabídce Konfigurace přejděte do části Syslog .
  2. Vyberte +Přidat.
  3. V dialogovém okně Přidat nový syslog zadejte IP adresu vzdáleného serveru, port, protokol.
  4. Vyberte CEF ve formátu - zprávy.
  5. Zvolte Uložit a ukončete dialogové okno Přidat syslog.

Ochrana kontrastu

Nakonfigurujte agenta Contrast Protect tak, aby předával události do syslogu, jak je popsáno zde: https://docs.contrastsecurity.com/en/output-to-syslog.html. Vygenerujte některé události útoku pro vaši aplikaci.

CrowdStrike Falcon

Nasaďte CrowdStrike Falcon SIEM Collector pro předávání zpráv syslogu ve formátu CEF do pracovního prostoru Služby Microsoft Sentinel prostřednictvím agenta syslogu.

  1. Podle těchto pokynů nasaďte kolekci SIEM a předáte syslog.
  2. Použijte IP adresu nebo název hostitele pro zařízení s Linuxem s agentem Linuxu nainstalovaným jako cílovou IP adresu.

Události programu CyberArk Enterprise Password Vault (EPV)

Na EPV nakonfigurujte dbparm.ini tak, aby do proxy počítače odesílaly zprávy syslogu ve formátu CEF. Nezapomeňte odeslat protokoly na port 514 TCP na IP adrese počítačů.

Delinea Secret Server

Nastavte řešení zabezpečení tak, aby do proxy počítače odesílaly zprávy syslogu ve formátu CEF. Nezapomeňte protokoly odeslat na port 514 TCP na IP adrese počítače.

ExtraHop Reveal(x)

Nastavte řešení zabezpečení tak, aby do proxy počítače odesílaly zprávy syslogu ve formátu CEF. Nezapomeňte protokoly odeslat na port 514 TCP na IP adrese počítače.

  1. Postupujte podle pokynů k instalaci sady konektoru SIEM Pro detekci ExtraHop do systému Reveal(x). Pro tuto integraci se vyžaduje konektor SIEM.
  2. Povolte trigger pro konektor SIEM pro detekci ExtraHop – CEF.
  3. Aktualizujte trigger s cíli syslogu ODS, které jste vytvořili. 

Funkce Reveal(x) formátuje zprávy syslogu ve formátu CEF (Common Event Format) a pak odesílá data do Služby Microsoft Sentinel.

F5 Networks

Nakonfigurujte F5 pro předávání zpráv syslogu ve formátu CEF do pracovního prostoru Služby Microsoft Sentinel prostřednictvím agenta syslogu.

Přejděte na F5 Konfigurace protokolování událostí zabezpečení aplikace, postupujte podle pokynů k nastavení vzdáleného protokolování pomocí následujících pokynů:

  1. Nastavte typ vzdáleného úložiště na CEF.
  2. Nastavte nastavení Protokolu na UDP.
  3. Nastavte IP adresu na IP adresu serveru syslog.
  4. Nastavte číslo portu na 514 nebo port, který používá váš agent.
  5. Nastavte zařízení na zařízení, které jste nakonfigurovali v agentu syslogu. Ve výchozím nastavení nastaví agent tuto hodnotu na local4.
  6. Maximální velikost řetězce dotazu můžete nastavit na stejnou hodnotu, jakou jste nakonfigurovali.

Zabezpečení sítě FireEye

Provedením následujících kroků odešlete data pomocí CEF:

  1. Přihlaste se k zařízení FireEye pomocí účtu správce.

  2. Vyberte Nastavení.

  3. Vyberte Oznámení. Vyberte rsyslog.

  4. Zaškrtněte políčko Typ události.

  5. Ujistěte se, že nastavení Rsyslogu jsou:

    • Výchozí formát: CEF
    • Výchozí doručení: Na událost
    • Výchozí odeslání jako: Výstraha

Forcepoint CASB

Nastavte řešení zabezpečení tak, aby do proxy počítače odesílaly zprávy syslogu ve formátu CEF. Nezapomeňte protokoly odeslat na port 514 TCP na IP adrese počítače.

Forcepoint CSG

Integrace je dostupná se dvěma možnostmi implementace:

  1. Používá image Dockeru, ve kterých je komponenta integrace už nainstalovaná se všemi nezbytnými závislostmi. Postupujte podle pokynů uvedených v průvodci integrací.
  2. Vyžaduje ruční nasazení integrační komponenty v čistém počítači s Linuxem. Postupujte podle pokynů uvedených v průvodci integrací.

Forcepoint NGFW

Nastavte řešení zabezpečení tak, aby do proxy počítače odesílaly zprávy syslogu ve formátu CEF. Nezapomeňte protokoly odeslat na port 514 TCP na IP adrese počítače.

Common Audit ForgeRock pro CEF

V nástroji ForgeRock nainstalujte a nakonfigurujte tento běžný audit (CAUD) pro Microsoft Sentinel podle dokumentace na adrese https://github.com/javaservlets/SentinelAuditEventHandler. Dále v Azure postupujte podle pokynů ke konfiguraci CEF prostřednictvím datového konektoru AMA.

iboss

Nastavte konzolu Threat Console tak, aby do pracovního prostoru Azure odesílala zprávy syslogu ve formátu CEF. Poznamenejte si ID pracovního prostoru a primární klíč v rámci pracovního prostoru služby Log Analytics. V nabídce pracovních prostorů služby Log Analytics na webu Azure Portal vyberte pracovní prostor. Potom v části Nastavení vyberte správa agentů.

  1. V konzole iboss přejděte na Vytváření sestav a analýzy .
  2. Vyberte Přeposílání>protokolů od reportéru.
  3. Vyberte Akce>Přidat službu.
  4. Přepněte na Microsoft Sentinel jako typ služby a zadejte ID nebo primární klíč pracovního prostoru spolu s dalšími kritérii. Pokud byl nakonfigurovaný vyhrazený proxy počítač s Linuxem, přepněte na Syslog jako typ služby a nakonfigurujte nastavení tak, aby odkazovalo na váš vyhrazený proxy počítač s Linuxem.
  5. Počkejte jednu až dvě minuty, než se nastavení dokončí.
  6. Vyberte službu Microsoft Sentinel a ověřte, že je stav nastavení služby Microsoft Sentinel úspěšný. Pokud je nakonfigurovaný vyhrazený proxy počítač s Linuxem, můžete připojení ověřit.

Illumio Core

Nakonfigurujte formát události.

  1. V nabídce webové konzoly PCE zvolte Nastavení událostí nastavení > a zobrazte aktuální nastavení.
  2. Chcete-li změnit nastavení, vyberte Upravit .
  3. Nastavte formát události na CEF.
  4. (Volitelné) Nakonfigurujte závažnost a dobu uchovávání událostí.

Nakonfigurujte předávání událostí na externí server syslogu.

  1. V nabídce webové konzoly PCE zvolte Nastavení události nastavení>.
  2. Vyberte Přidat.
  3. Vyberte Přidat úložiště.
  4. Dokončete dialogové okno Přidat úložiště.
  5. Vyberte OK a uložte konfiguraci předávání událostí.

Ilusivní platforma

  1. Nastavte řešení zabezpečení tak, aby do proxy počítače odesílaly zprávy syslogu ve formátu CEF. Nezapomeňte protokoly odeslat na port 514 TCP na IP adrese počítače.

  2. Přihlaste se do illusivní konzoly a přejděte do části Vytváření sestav nastavení>.

  3. Najděte servery Syslog.

  4. Zadejte následující informace:

    • Název hostitele: IP adresa agenta Syslog pro Linux nebo název hostitele plně kvalifikovaného názvu domény
    • Port: 514
    • Protokol: TCP
    • Zprávy auditu: Odesílání zpráv auditu na server
  5. Chcete-li přidat server syslog, vyberte Přidat.

Další informace o tom, jak přidat nový server syslog na illusive platformu, najdete v příručce pro správu Illusive Networks v této části: https://support.illusivenetworks.com/hc/en-us/sections/360002292119-Documentation-by-Version

Brána Imperva WAF

Tento konektor vyžaduje vytvoření rozhraní akcí a sady akcí na Imperva SecureSphere MX. Podle pokynů vytvořte požadavky.

  1. Vytvořte nové rozhraní akce, které obsahuje požadované parametry pro odesílání upozornění WAF do služby Microsoft Sentinel.
  2. Vytvořte novou sadu akcí, která používá nakonfigurované rozhraní akcí.
  3. Použijte sadu akcí na všechny zásady zabezpečení, které chcete mít výstrahy pro odeslání do služby Microsoft Sentinel.

Infoblox Cloud Data Connector

Provedením následujících kroků nakonfigurujte infoblox CDC tak, aby odeslal data BloxOne do Microsoft Sentinelu prostřednictvím agenta syslogu Linuxu.

  1. Přejděte ke správě>datového konektoru.
  2. V horní části vyberte kartu Konfigurace cíle.
  3. Vyberte Vytvořit > syslog.
    • Název: Dejte novému cíli smysluplný název, například Microsoft-Sentinel-Destination.
    • Popis: Volitelně ho dejte smysluplný popis.
    • Stav: Nastavte stav na Povoleno.
    • Formát: Nastavte formát na CEF.
    • Plně kvalifikovaný název domény nebo IP adresa: Zadejte IP adresu zařízení s Linuxem, na kterém je nainstalovaný agent Linuxu.
    • Port: Číslo portu ponechte na 514.
    • Protokol: V případě potřeby vyberte požadovaný protokol a certifikát certifikační autority.
    • Zvolte Uložit a zavřít.
  4. V horní části vyberte kartu Konfigurace toku provozu.
  5. Vyberte Vytvořit.
    • Název: Dejte novému toku provozu smysluplný název, například Microsoft-Sentinel-Flow.
    • Popis: Volitelně ho dejte smysluplný popis.
    • Stav: Nastavte stav na Povoleno.
    • Rozbalte část Instance služby.
      • Instance služby: Vyberte požadovanou instanci služby, pro kterou je povolená služba Datového konektoru.
    • Rozbalte část Konfigurace zdroje.
      • Zdroj: Vyberte zdroj cloudu BloxOne.
      • Vyberte všechny požadované typy protokolů, které chcete shromáždit. Aktuálně podporované typy protokolů:
        • Protokol dotazů a odpovědí ochrany před hrozbami
        • Protokol přístupů k informačním kanálům hrozeb pro ochranu před hrozbami
        • Protokol dotazů a odpovědí DDI
        • Protokol zapůjčení DHCP DDI
    • Rozbalte část Konfigurace cíle.
      • Vyberte cíl, který jste vytvořili.
    • Zvolte Uložit a zavřít.
  6. Chvíli povolte aktivaci konfigurace.

Infoblox SOC Insights

Provedením následujících kroků nakonfigurujte infoblox CDC tak, aby odeslal data BloxOne do Microsoft Sentinelu prostřednictvím agenta syslogu Linuxu.

  1. Přejděte ke správě > datového konektoru.
  2. V horní části vyberte kartu Konfigurace cíle.
  3. Vyberte Vytvořit > syslog.
    • Název: Dejte novému cíli smysluplný název, například Microsoft-Sentinel-Destination.
    • Popis: Volitelně ho dejte smysluplný popis.
    • Stav: Nastavte stav na Povoleno.
    • Formát: Nastavte formát na CEF.
    • Plně kvalifikovaný název domény nebo IP adresa: Zadejte IP adresu zařízení s Linuxem, na kterém je nainstalovaný agent Linuxu.
    • Port: Číslo portu ponechte na 514.
    • Protokol: V případě potřeby vyberte požadovaný protokol a certifikát certifikační autority.
    • Zvolte Uložit a zavřít.
  4. V horní části vyberte kartu Konfigurace toku provozu.
  5. Vyberte Vytvořit.
    • Název: Dejte novému toku provozu smysluplný název, například Microsoft-Sentinel-Flow.
    • Popis: Volitelně ho dejte smysluplný popis.
    • Stav: Nastavte stav na Povoleno.
    • Rozbalte část Instance služby.
      • Instance služby: Vyberte požadovanou instanci služby, pro kterou je povolená služba datového konektoru.
    • Rozbalte část Konfigurace zdroje.
      • Zdroj: Vyberte zdroj cloudu BloxOne.
      • Vyberte typ protokolu interních oznámení.
    • Rozbalte část Konfigurace cíle.
      • Vyberte cíl, který jste vytvořili.
    • Zvolte Uložit a zavřít.
  6. Chvíli povolte aktivaci konfigurace.

Aplikace KasperskySecurityCenter

Podle pokynů nakonfigurujte export událostí z aplikace Kaspersky Security Center.

Morfing

Nastavte řešení zabezpečení tak, aby do proxy počítače odesílaly zprávy syslogu ve formátu CEF. Nezapomeňte protokoly odeslat na port 514 TCP na IP adrese počítače.

Netwrix Auditor

Podle pokynů nakonfigurujte export událostí z Netwrix Auditoru.

NozomiNetworks

Provedením následujících kroků nakonfigurujte zařízení Nozomi Networks tak, aby přes syslog ve formátu CEF odesílala upozornění, audit a protokoly stavu:

  1. Přihlaste se ke konzole Guardian.
  2. Přejděte do části Správa> Integrace Dat.
  3. Vyberte +Přidat.
  4. V rozevíracím seznamu vyberte formát CEF (Common Event Format).
  5. Vytvořte nový koncový bod s použitím příslušných informací o hostiteli.
  6. Povolte odesílání výstrah, protokolů auditu a protokolů stavu.

Onapsis Platform

Informace o nastavení předávání protokolů agentu syslog najdete v nápovědě k onapsis v produktu.

  1. Přejděte na Nastavení>integrací>třetích stran Defend Alarms a postupujte podle pokynů pro Microsoft Sentinel.

  2. Ujistěte se, že se konzola Onapsis může spojit s počítačem proxy, na kterém je agent nainstalovaný. Protokoly by se měly odesílat na port 514 pomocí protokolu TCP.

OSSEC

Podle těchto kroků nakonfigurujte OSSEC odesílající výstrahy přes syslog.

Palo Alto - XDR (Cortex)

Nakonfigurujte Palo Alto XDR (Cortex) pro přeposílání zpráv ve formátu CEF do pracovního prostoru Služby Microsoft Sentinel prostřednictvím agenta syslogu.

  1. Přejděte na Nastavení a konfigurace Cortex.
  2. Vyberte, pokud chcete přidat nový server v části Externí aplikace.
  3. Pak zadejte název a zadejte veřejnou IP adresu vašeho serveru syslog v cíli.
  4. Zadejte číslo portu jako 514.
  5. V poli Zařízení vyberte v rozevíracím seznamu FAC_SYSLOG .
  6. Vyberte Protokol jako UDP.
  7. Vyberte Vytvořit.

PaloAlto-PAN-OS

Nakonfigurujte Palo Alto Networks tak, aby přesměrovávalo zprávy syslogu ve formátu CEF do pracovního prostoru Služby Microsoft Sentinel prostřednictvím agenta syslogu.

  1. Přejděte ke konfiguraci sítě Palo Alto Networks NGFW pro odesílání událostí CEF.

  2. Přejděte na Palo Alto CEF Configuration a Palo Alto Configure Syslog Monitoring steps 2, 3, choose your version a follow the instructions using the following guidelines:

    1. Nastavte formát serveru Syslog na BSD.
    2. Zkopírujte text do editoru a odeberte všechny znaky, které by mohly před vložením přerušit formát protokolu. Operace kopírování a vložení z PDF můžou změnit text a vložit náhodné znaky.

Další informace

PaloAltoCDL

Podle pokynů nakonfigurujte předávání protokolů z Cortex Data Lake na syslog Server.

PingFederate

Pomocí těchto kroků nakonfigurujte PingFederate odesílání protokolu auditu přes syslog ve formátu CEF.

RidgeSecurity

Nakonfigurujte RidgeBot tak, aby předával události na server syslog, jak je popsáno zde. Vygenerujte některé události útoku pro vaši aplikaci.

SonicWall Firewall

Nastavte bránu firewall SonicWall tak, aby do proxy počítače odesílala zprávy syslogu ve formátu CEF. Ujistěte se, že protokoly odesíláte na port 514 TCP na IP adrese počítače.

Postupujte podle pokynů. Pak se ujistěte, že jako zařízení vyberete místní použití 4. Pak jako formát syslogu vyberte ArcSight.

Trend Micro Apex One

Podle těchto kroků nakonfigurujte apex Central odesílající výstrahy prostřednictvím syslogu. Při konfiguraci vyberte v kroku 6 formát protokolu CEF.

Trend Micro Deep Security

Nastavte řešení zabezpečení tak, aby do proxy počítače odesílaly zprávy syslogu ve formátu CEF. Nezapomeňte protokoly odeslat na port 514 TCP na IP adrese počítače.

  1. Předat Trend Micro Deep Security události syslog agent.
  2. Definujte novou konfiguraci syslogu, která používá formát CEF. Další informace najdete v tomto článku znalostní báze.
  3. Nakonfigurujte Správce hloubkového zabezpečení tak, aby pomocí této nové konfigurace předával události agentu syslogu pomocí těchto pokynů.
  4. Nezapomeňte uložit funkci TrendMicroDeepSecurity , aby správně dotazuje data Trend Micro Deep Security.

Trend Micro TippingPoint

Nastavte zprávu TippingPoint SMS tak, aby odesílala zprávy syslogu ve formátu ArcSight CEF Format v4.2 na proxy počítač. Nezapomeňte protokoly odeslat na port 514 TCP na IP adrese počítače.

vArmour Application Controller

Odešlete zprávy syslogu ve formátu CEF na proxy počítač. Nezapomeňte protokoly odeslat na port 514 TCP na IP adrese počítače.

Stáhněte si uživatelskou příručku z https://support.varmour.com/hc/en-us/articles/360057444831-vArmour-Application-Controller-6-0-User-Guidewebu . V uživatelské příručce si projděte část Konfigurace syslogu pro monitorování a porušení a postupujte podle kroků 1 až 3.

Vectra AI Detect

Nakonfigurujte agenta Vectra (X Series) tak, aby předával zprávy syslogu ve formátu CEF do pracovního prostoru Služby Microsoft Sentinel prostřednictvím agenta syslogu.

V uživatelském rozhraní Vectra přejděte do nastavení > Oznámení a upravte konfiguraci syslogu. Podle následujících pokynů nastavte připojení:

  1. Přidejte nový cíl (což je hostitel, na kterém je spuštěný agent syslogu služby Microsoft Sentinel).
  2. Nastavte port na hodnotu 514.
  3. Nastavte protokol jako UDP.
  4. Nastavte formát CEF.
  5. Nastavte typy protokolů. Vyberte všechny dostupné typy protokolů.
  6. Vyberte možnost Uložit.
  7. Vyberte tlačítko Test a odešlete některé testovací události.

Další informace najdete v příručce Cognito Detect Syslog, kterou si můžete stáhnout ze stránky prostředků v uživatelském rozhraní Detect.

Votiro

Nastavte koncové body Votiro tak, aby odesílaly zprávy syslogu ve formátu CEF do počítače pro předávání. Ujistěte se, že protokoly odesíláte na port 514 TCP na IP adrese počítače pro předávání.

WireX Network Forenzní platforma

Pokud chcete nakonfigurovat řešení NFP tak, aby odesílala zprávy syslogu ve formátu CEF na proxy počítač, obraťte se na podporu WireX (https://wirexsystems.com/contact-us/). Ujistěte se, že centrální správce může odesílat protokoly na port 514 TCP na IP adrese počítače.

S využitím prvkůSecure prostřednictvím konektoru

Připojte zařízení konektoru WithSecure Elements ke službě Microsoft Sentinel. Datový konektor Konektor WithSecure Elements umožňuje snadno propojit protokoly WithSecure Elements se službou Microsoft Sentinel, zobrazit řídicí panely, vytvářet vlastní výstrahy a zlepšovat šetření.

Poznámka:

Data se ukládají v geografickém umístění pracovního prostoru, na kterém používáte Microsoft Sentinel.

Nakonfigurujte konektor Secure Elements Connector pro předávání zpráv syslogu ve formátu CEF do pracovního prostoru služby Log Analytics prostřednictvím agenta syslogu.

  1. Vyberte nebo vytvořte počítač s Linuxem pro Microsoft Sentinel, který se použije jako proxy server mezi vaším řešením WithSecurity a Microsoft Sentinelem. Počítač může být místní prostředí, Microsoft Azure nebo jiné cloudové prostředí. Linux musí mít syslog-ng a python/python3 nainstalovat.
  2. Nainstalujte na počítač s Linuxem agenta Azure Monitoring Agent (AMA) a nakonfigurujte počítač tak, aby naslouchal potřebným portům a předával zprávy do pracovního prostoru Microsoft Sentinelu. Kolektor CEF shromažďuje zprávy CEF na portu 514 TCP. Na počítači musíte mít zvýšená oprávnění (sudo).
  3. Přejděte na EPP na portálu s prvky WithSecure. Pak přejděte do složky Stažené soubory. V části Konektor elementů vyberte Vytvořit klíč předplatného. Klíč předplatného můžete zkontrolovat v části Předplatná.
  4. V části Stažené soubory v části Konektor s nezabezpečenými elementy vyberte správný instalační program a stáhněte si ho.
  5. V EPP otevřete nastavení účtu v pravém horním rohu. Pak vyberte Získat klíč rozhraní API pro správu. Pokud byl klíč vytvořen dříve, můžete ho tam také přečíst.
  6. Pokud chcete nainstalovat Elements Connector, postupujte podle dokumentace ke konektoru Elements Connector.
  7. Pokud během instalace není nakonfigurovaný přístup k rozhraní API, postupujte podle konfigurace přístupu rozhraní API pro konektor Elements Connector.
  8. Přejděte na EPP a potom profily a pak použijte konektor, ze kterého můžete zobrazit profily konektorů. Vytvořte nový profil (nebo upravte existující profil jen pro čtení). V předávání událostí ji povolte. Nastavit systémovou adresu SIEM: 127.0.0.1:514. Nastavte formát na běžný formát události. Protokol je TCP. Uložte profil a přiřaďte ho konektoru Elements Connector na kartě Zařízení .
  9. Pokud chcete použít relevantní schéma v Log Analytics pro konektor WithSecure Elements, vyhledejte CommonSecurityLog.
  10. Pokračujte v ověřování připojení CEF.

Zscaler

Nastavte produkt Zscaler tak, aby odesílal zprávy syslogu ve formátu CEF do agenta syslogu. Nezapomeňte odesílat protokoly na portu 514 TCP.

Další informace najdete v průvodci integrací služby Zscaler Microsoft Sentinel.