CEF über AMA-Datenconnector – Konfigurieren spezieller Appliances oder Geräte für die Microsoft Sentinel-Datenerfassung
Die Protokollsammlung von vielen Sicherheitsgeräten und Geräten wird vom Common Event Format (CEF) über den AMA-Datenconnector in Microsoft Sentinel unterstützt. In diesem Artikel werden vom Anbieter bereitgestellte Installationsanweisungen für bestimmte Sicherheitsgeräte und Geräte aufgeführt, die diesen Datenkonnektor verwenden. Wenden Sie sich an den Anbieter, um Updates, weitere Informationen zu erhalten oder wenn Informationen für Ihre Sicherheitsanwendung oder Ihr Gerät nicht verfügbar sind.
Um Daten in Ihren Log Analytics-Arbeitsbereich für Microsoft Sentinel aufzunehmen, führen Sie die Schritte zum Aufnehmen von Syslog- und CEF-Nachrichten an Microsoft Sentinel mit dem Azure Monitor-Agent aus. Diese Schritte umfassen die Installation des Common Event Format (CEF) über den AMA-Datenkonnektor in Microsoft Sentinel. Nachdem der Connector installiert wurde, verwenden Sie die für Ihr Gerät geeigneten Anweisungen, die weiter unten in diesem Artikel gezeigt werden, um die Einrichtung abzuschließen.
Weitere Informationen zur zugehörigen Microsoft Sentinel-Lösung für jede dieser Appliances oder Geräte finden Sie im Azure Marketplace nach den Produkttyplösungsvorlagen>, oder überprüfen Sie die Lösung über den Inhaltshub in Microsoft Sentinel.
Wichtig
Microsoft Sentinel ist jetzt in der Microsoft Unified Security Operations Platform im Microsoft Defender-Portal allgemein verfügbar. Weitere Informationen finden Sie unter Microsoft Sentinel im Microsoft Defender-Portal.
AI Analyst Darktrace
Konfigurieren Sie Darktrace, um Syslog-Nachrichten im CEF-Format über den Syslog-Agent an Ihren Azure-Arbeitsbereich weiterzuleiten.
- Navigieren Sie in Darktrace Threat Visualizer im Hauptmenü unter Admin zur Seite System Config (Systemkonfiguration).
- Wählen Sie im linken Menü "Module" die Option "Module " und dann "Microsoft Sentinel" aus den verfügbaren Workflowintegrationen aus.
- Suchen Sie microsoft Sentinel syslog CEF, und wählen Sie "Neu " aus, um die Konfigurationseinstellungen anzuzeigen, es sei denn, sie wurden bereits verfügbar gemacht.
- Geben Sie im Feld Server configuration (Serverkonfiguration) den Speicherort der Protokollweiterleitung ein, und ändern Sie optional den Kommunikationsport. Stellen Sie sicher, dass der Port auf 514 festgelegt ist und von allen zwischengeschalteten Firewalls zugelassen wird.
- Konfigurieren Sie alle Warnungsschwellenwerte, Zeitversätze oder andere Einstellungen nach Bedarf.
- Überprüfen Sie alle anderen Konfigurationsoptionen, die Sie möglicherweise aktivieren möchten, um die Syslogsyntax zu ändern.
- Aktivieren Sie Warnungen senden, und speichern Sie Ihre Änderungen.
Sicherheitsrelevante Akamai-Ereignisse
Führen Sie die folgenden Schritte aus, um den Akamai CEF-Connector so zu konfigurieren, dass Syslog-Nachrichten im CEF-Format an den Proxycomputer gesendet werden. Die Protokolle müssen über TCP-Port 514 an die IP-Adresse des Computers gesendet werden.
AristaAwakeSecurity
Führen Sie die folgenden Schritte aus, um das Awake Adversarial-Modell an einen CEF-Sammler weiterzuleiten, der auf TCP-Port 514 bei IP 192.168.0.1 lauscht:
- Navigieren Sie zur Seite " Erkennungsverwaltungskompetenzen " in der Benutzeroberfläche "Wach".
- Wählen Sie + Neue Fähigkeiten hinzufügen.
- Ausdruck auf
integrations.cef.tcp { destination: "192.168.0.1", port: 514, secure: false, severity: Warning }
- Legen Sie titel auf einen beschreibenden Namen fest, z. B. "Forward Awake Adversarial Model match result to Microsoft Sentinel".
- Legen Sie den Verweisbezeichner auf etwas leicht erkennbares, wie integrations.cef.sentinel-forwarder.
- Wählen Sie Speichern.
Innerhalb weniger Minuten nach dem Speichern der Definition und anderer Felder beginnt das System, neue Modellergebnisse an den CEF-Ereignissammler zu senden, sobald sie erkannt werden.
Weitere Informationen finden Sie auf der Seite zum Hinzufügen einer Sicherheitsinformations- und Ereignisverwaltungs-Pushintegrationsseite in der Hilfedokumentation in der Awake-Benutzeroberfläche.
Aruba ClearPass
Konfigurieren Sie Aruba ClearPass so, dass Syslog-Nachrichten im CEF-Format über den Syslog-Agent an Ihren Microsoft Sentinel-Arbeitsbereich weitergeleitet werden.
- Befolgen Sie diese Anweisungen, um Aruba ClearPass für die Weiterleitung an syslog zu konfigurieren.
- Verwenden Sie die IP-Adresse oder den Hostnamen für das Linux-Gerät, auf dem der Linux-Agent als Ziel-IP-Adresse installiert ist.
Barracuda WAF
Die Barracuda-Webanwendungsfirewall kann protokolle direkt über den Azure Monitoring Agent (AMA) in Microsoft Sentinel integrieren und exportieren.
Wechseln Sie zur Barracuda WAF-Konfiguration, und folgen Sie den Anweisungen, indem Sie die folgenden Parameter verwenden, um die Verbindung einzurichten.
Web firewall logs facility: Go to the advanced settings for your workspace and on the Data>Syslog tabs. Stellen Sie sicher, dass die Anlage vorhanden ist.
Beachten Sie, dass die Daten aus allen Regionen im ausgewählten Arbeitsbereich gespeichert werden.
Broadcom SymantecDLP
Konfigurieren Sie Symantec DLP so, dass Syslog-Nachrichten im CEF-Format über den Syslog-Agent an Ihren Microsoft Sentinel-Arbeitsbereich weitergeleitet werden.
- Befolgen Sie diese Anweisungen, um Symantec DLP für die Weiterleitung von Syslog-Nachrichten zu konfigurieren.
- Verwenden Sie die IP-Adresse oder den Hostnamen für das Linux-Gerät, auf dem der Linux-Agent als Ziel-IP-Adresse installiert ist.
Cisco Firepower EStreamer
Installieren und konfigurieren Sie den Firepower eNcore eStreamer-Client. Weitere Informationen finden Sie im vollständigen Installationshandbuch.
CiscoSEG
Führen Sie die folgenden Schritte aus, um Cisco Secure Email Gateway so zu konfigurieren, dass Protokolle über Syslog weitergeleitet werden:
- Konfigurieren des Protokollabonnements.
- Wählen Sie "Konsolidierte Ereignisprotokolle " im Feld "Protokolltyp" aus.
Citrix Web App Firewall
Konfigurieren Sie Citrix WAF, um Syslog-Nachrichten im CEF-Format an den Proxycomputer zu senden.
Hier finden Sie Anleitungen zum Konfigurieren von WAF- und CEF-Protokollen vom Citrix Support.
Befolgen Sie dieses Handbuch , um die Protokolle an den Proxy weiterzuleiten. Die Protokolle müssen über TCP-Port 514 an die IP-Adresse des Linux-Computers gesendet werden.
Claroty
Konfigurieren Sie die Protokollweiterleitung mithilfe von CEF.
- Navigieren Sie zum Abschnitt Syslog des Konfigurationsmenüs.
- Wählen Sie + Hinzufügen aus.
- Geben Sie im Dialogfeld "Neues Syslog hinzufügen" Remoteserver-IP, Port, Protokoll an.
- Wählen Sie "Nachrichtenformat - CEF" aus.
- Wählen Sie Speichern aus, um das Dialogfeld Syslog hinzufügen zu schließen.
Contrast Protect
Konfigurieren Sie den Contrast Protect-Agent so, dass Ereignisse wie folgt beschrieben an syslog weitergeleitet werden: https://docs.contrastsecurity.com/en/output-to-syslog.html. Generieren Sie ein paar Angriffsereignisse für Ihre Anwendung.
CrowdStrike Falcon
Stellen Sie den CrowdStrike Falcon SIEM Collector bereit, um Syslog-Nachrichten im CEF-Format über den Syslog-Agent an Ihren Microsoft Sentinel-Arbeitsbereich weiterzuleiten.
- Befolgen Sie diese Anweisungen , um den SIEM Collector bereitzustellen und Syslog weiterzuleiten.
- Verwenden Sie die IP-Adresse oder den Host-Namen für das Linux-Gerät mit installiertem Linux-Agent als Ziel-IP-Adresse.
CyberArk EPV-Ereignisse (Enterprise Password Vault)
Konfigurieren Sie im EPV die dbparm.ini, um Syslog-Nachrichten im CEF-Format an den Proxycomputer zu senden. Die Protokolle müssen an den TCP-Port 514 der IP-Adresse des Computers gesendet werden.
Delinea Secret Server
Legen Sie Ihre Sicherheitslösung fest, um Syslog-Nachrichten im CEF-Format an den Proxycomputer zu senden. Die Protokolle müssen über TCP-Port 514 an die IP-Adresse des Computers gesendet werden.
ExtraHop Reveal(x)
Legen Sie Ihre Sicherheitslösung fest, um Syslog-Nachrichten im CEF-Format an den Proxycomputer zu senden. Die Protokolle müssen über TCP-Port 514 an die IP-Adresse des Computers gesendet werden.
- Befolgen Sie die Anweisungen, um das ExtraHop Detection SIEM Connector-Paket auf Ihrem Reveal(x)-System zu installieren. Der SIEM-Connector ist für diese Integration erforderlich.
- Aktivieren Sie den Trigger für extraHop Detection SIEM Connector – CEF.
- Aktualisieren Sie den Trigger mit den von Ihnen erstellten ODS-Syslogzielen.
Das Reveal(x)-System formatiert Syslog-Nachrichten im Common Event Format (CEF) und sendet dann Daten an Microsoft Sentinel.
F5 Networks
Konfigurieren Sie F5, um Syslog-Nachrichten im CEF-Format über den Syslog-Agent an Ihren Microsoft Sentinel-Arbeitsbereich weiterzuleiten.
Navigieren Sie zum F5-Artikel Konfigurieren der Ereignisprotokollierung für die Anwendungssicherheit, und befolgen Sie die Anleitung zum Einrichten der Remoteprotokollierung anhand der folgenden Richtlinien:
- Legen Sie Remote storage type auf CEF fest.
- Legen Sie die Protokolleinstellung auf UDP fest.
- Legen Sie die IP-Adresse auf die IP-Adresse des Syslog-Servers fest.
- Legen Sie die Portnummer auf 514 fest, oder legen Sie den von Ihrem Agent verwendeten Port fest.
- Legen Sie die Einrichtung auf die Einrichtung fest, die Sie im Syslog-Agent konfiguriert haben. Standardmäßig legt der Agent diesen Wert auf "local4" fest.
- Sie können die maximale Abfragezeichenfolgengröße auf die von Ihnen konfigurierte Größe festlegen.
FireEye Network Security
Führen Sie die folgenden Schritte aus, um Daten mithilfe von CEF zu senden:
Melden Sie sich mit einem Administratorkonto bei der FireEye-Appliance an.
Wählen Sie Einstellungen aus.
Wählen Sie Benachrichtigungen aus. Wählen Sie "rsyslog" aus.
Aktivieren Sie das Kontrollkästchen "Ereignistyp ".
Stellen Sie sicher, dass die Rsyslog-Einstellungen wie folgt aussehen:
- Standardformat: CEF
- Standardübermittlung: Pro Ereignis
- Standardnachricht senden als: Warnung
Forcepoint CASB
Legen Sie Ihre Sicherheitslösung fest, um Syslog-Nachrichten im CEF-Format an den Proxycomputer zu senden. Die Protokolle müssen über TCP-Port 514 an die IP-Adresse des Computers gesendet werden.
Forcepoint CSG
Die Integration wird mit zwei Implementierungsoptionen zur Verfügung gestellt:
- Verwendet Docker-Images, bei denen die Integrationskomponente bereits mit allen erforderlichen Abhängigkeiten installiert ist. Folgen Sie den Anweisungen im Integrationshandbuch.
- Erfordert die manuelle Bereitstellung der Integrationskomponente auf einem sauberen Linux-Computer. Folgen Sie den Anweisungen im Integrationshandbuch.
Forcepoint NGFW
Legen Sie Ihre Sicherheitslösung fest, um Syslog-Nachrichten im CEF-Format an den Proxycomputer zu senden. Die Protokolle müssen über TCP-Port 514 an die IP-Adresse des Computers gesendet werden.
ForgeRock Common Audit for CEF
Installieren und konfigurieren Sie in ForgeRock diese gemeinsame Überwachung (Common Audit, CAUD) für Microsoft Sentinel gemäß der Dokumentation unter https://github.com/javaservlets/SentinelAuditEventHandler. Führen Sie als Nächstes in Azure die Schritte zum Konfigurieren des CEF über den AMA-Datenconnector aus.
iboss
Legen Sie Ihre Bedrohungskonsole so fest, dass Syslog-Nachrichten im CEF-Format an Ihren Azure-Arbeitsbereich gesendet werden. Notieren Sie sich Ihre Arbeitsbereichs-ID und den Primärschlüssel in Ihrem Log Analytics-Arbeitsbereich. Wählen Sie im Azure-Portal im Menü Log Analytics-Arbeitsbereiche den Arbeitsbereich aus. Wählen Sie dann Agent-Verwaltung im Abschnitt Einstellungen aus.
- Navigieren Sie in Ihrer iboss-Konsole zu Reporting & Analytics .
- Wählen Sie "Log Forwarding Forward>from Reporter" aus.
- Wählen Sie "Aktionen>hinzufügen Dienst" aus.
- Wechseln Sie zu Microsoft Sentinel als Diensttyp , und geben Sie Ihre Arbeitsbereichs-ID/Primärschlüssel zusammen mit anderen Kriterien ein. Wenn ein dedizierter Proxy-Linux-Computer konfiguriert wurde, wechseln Sie zu Syslog as a Service Type , und konfigurieren Sie die Einstellungen, um auf Ihren dedizierten Proxy-Linux-Computer zu verweisen.
- Warten Sie ein bis zwei Minuten, bis das Setup abgeschlossen ist.
- Wählen Sie Ihren Microsoft Sentinel-Dienst aus, und überprüfen Sie, ob der Microsoft Sentinel-Setupstatus erfolgreich ist. Wenn ein dedizierter Linux-Proxycomputer konfiguriert ist, überprüfen Sie möglicherweise Ihre Verbindung.
Illumio Core
Ereignisformat konfigurieren.
- Wählen Sie im Menü der PCE-Webkonsole Einstellungen > Ereigniseinstellungen aus, um Ihre aktuellen Einstellungen anzuzeigen.
- Wählen Sie "Bearbeiten" aus, um die Einstellungen zu ändern.
- Legen Sie das Ereignisformat auf CEF fest.
- (Optional) Konfigurieren Sie den Ereignisschweregrad und den Aufbewahrungszeitraum.
Konfigurieren sie die Ereignisweiterleitung an einen externen Syslog-Server.
- Wählen Sie im Menü "PCE-Webkonsole" die Option ">Einstellungen für Ereigniseinstellungen" aus.
- Wählen Sie Hinzufügen.
- Wählen Sie "Repository hinzufügen" aus.
- Schließen Sie das Dialogfeld Repository hinzufügen ab.
- Wählen Sie "OK" aus, um die Ereignisweiterleitungskonfiguration zu speichern.
Illusive Platform
Legen Sie Ihre Sicherheitslösung fest, um Syslog-Nachrichten im CEF-Format an den Proxycomputer zu senden. Die Protokolle müssen über TCP-Port 514 an die IP-Adresse des Computers gesendet werden.
Melden Sie sich bei der illusiven Konsole an, und navigieren Sie zur Einstellungsberichterstattung>.
Suchen Sie Syslog-Server.
Geben Sie die folgenden Informationen an:
- Hostname: IP-Adresse des Linux-Syslog-Agents oder FQDN-Hostname
- Port: 514
- Protokoll: TCP
- Überwachungsnachrichten: Senden von Überwachungsnachrichten an den Server
Um den Syslog-Server hinzuzufügen, wählen Sie "Hinzufügen" aus.
Weitere Informationen zum Hinzufügen eines neuen Syslog-Servers in der Illusive-Plattform finden Sie im Administratorhandbuch für illusive Netzwerke hier: https://support.illusivenetworks.com/hc/en-us/sections/360002292119-Documentation-by-Version
Imperva WAF Gateway
Für diesen Connector muss eine Aktionsschnittstelle und ein Aktionssatz erstellt werden, der im Imperva SecureSphere MX erstellt wird. Führen Sie die Schritte aus, um die Anforderungen zu erstellen.
- Erstellen Sie eine neue Aktionsschnittstelle , die die erforderlichen Parameter zum Senden von WAF-Warnungen an Microsoft Sentinel enthält.
- Erstellen Sie einen neuen Aktionssatz , der die konfigurierte Aktionsschnittstelle verwendet.
- Wenden Sie den Aktionssatz auf alle Sicherheitsrichtlinien an, die Sie über Benachrichtigungen für das Senden an Microsoft Sentinel verfügen möchten.
Infoblox-Clouddatenconnector
Führen Sie die folgenden Schritte aus, um das Infoblox CDC so zu konfigurieren, dass BloxOne-Daten über den Linux-Syslog-Agent an Microsoft Sentinel gesendet werden.
- Navigieren Sie zu "Datenkonnektor verwalten>".
- Wählen Sie oben die Registerkarte "Zielkonfiguration " aus.
- Wählen Sie "Syslog erstellen" > aus.
- Name: Geben Sie dem neuen Ziel einen aussagekräftigen Namen, z . B. Microsoft-Sentinel-Destination.
- Beschreibung: Geben Sie optional eine aussagekräftige Beschreibung.
- Status: Legen Sie den Status auf Aktiviert fest.
- Format: Legen Sie das Format auf CEF fest.
- FQDN/IP: Geben Sie die IP-Adresse des Linux-Geräts ein, auf dem der Linux-Agent installiert ist.
- Port: Behalten Sie die Portnummer 514 bei.
- Protokoll: Wählen Sie das gewünschte Protokoll und, falls zutreffend, das Zertifizierungsstellenzertifikat aus.
- Wählen Sie Speichern und schließen aus.
- Wählen Sie oben die Registerkarte "Datenverkehrsflusskonfiguration " aus.
- Klicken Sie auf Erstellen.
- Name: Geben Sie dem neuen Datenverkehrsfluss einen aussagekräftigen Namen, z . B. Microsoft-Sentinel-Flow.
- Beschreibung: Geben Sie optional eine aussagekräftige Beschreibung.
- Status: Legen Sie den Status auf Aktiviert fest.
- Erweitern Sie den Abschnitt "Dienstinstanz" .
- Dienstinstanz: Wählen Sie Ihre gewünschte Dienstinstanz aus, für die der Datenconnectordienst aktiviert ist.
- Erweitern Sie den Abschnitt Quellkonfiguration.
- Quelle: Wählen Sie BloxOne Cloud Source aus.
- Wählen Sie alle gewünschten Protokolltypen aus, die Sie sammeln möchten. Derzeit unterstützte Protokolltypen sind:
- Threat Defense-Abfrage/Antwortprotokoll
- Threat Defense-Threat-Feeds-Treffer-Protokoll
- DDI-Abfrage/Antwortprotokoll
- DDI-DHCP-Leaseprotokoll
- Erweitern Sie den Abschnitt Zielkonfiguration.
- Wählen Sie das von Ihnen erstellte Ziel aus.
- Wählen Sie Speichern und schließen aus.
- Lassen Sie der Konfiguration einige Zeit zur Aktivierung.
Infoblox SOC Insights
Führen Sie die folgenden Schritte aus, um das Infoblox CDC so zu konfigurieren, dass BloxOne-Daten über den Linux-Syslog-Agent an Microsoft Sentinel gesendet werden.
- Navigieren Sie zu Verwalten > Datenconnector.
- Wählen Sie oben die Registerkarte "Zielkonfiguration " aus.
- Wählen Sie "Syslog erstellen" > aus.
- Name: Geben Sie dem neuen Ziel einen aussagekräftigen Namen, z . B. Microsoft-Sentinel-Destination.
- Beschreibung: Geben Sie optional eine aussagekräftige Beschreibung.
- Status: Legen Sie den Status auf Aktiviert fest.
- Format: Legen Sie das Format auf CEF fest.
- FQDN/IP: Geben Sie die IP-Adresse des Linux-Geräts ein, auf dem der Linux-Agent installiert ist.
- Port: Behalten Sie die Portnummer 514 bei.
- Protokoll: Wählen Sie das gewünschte Protokoll und, falls zutreffend, das Zertifizierungsstellenzertifikat aus.
- Wählen Sie Speichern und schließen aus.
- Wählen Sie oben die Registerkarte "Datenverkehrsflusskonfiguration " aus.
- Klicken Sie auf Erstellen.
- Name: Geben Sie dem neuen Datenverkehrsfluss einen aussagekräftigen Namen, z . B. Microsoft-Sentinel-Flow.
- Beschreibung: Geben Sie optional eine aussagekräftige Beschreibung ein.
- Status: Legen Sie den Status auf Aktiviert fest.
- Erweitern Sie den Abschnitt "Dienstinstanz" .
- Dienstinstanz: Wählen Sie Ihre gewünschte Dienstinstanz aus, für die der Datenconnectordienst aktiviert ist.
- Erweitern Sie den Abschnitt Quellkonfiguration.
- Quelle: Wählen Sie BloxOne Cloud Source aus.
- Wählen Sie den internen Benachrichtigungsprotokolltyp aus.
- Erweitern Sie den Abschnitt Zielkonfiguration.
- Wählen Sie das von Ihnen erstellte Ziel aus.
- Wählen Sie Speichern und schließen aus.
- Lassen Sie der Konfiguration einige Zeit zur Aktivierung.
KasperskySecurityCenter
Befolgen Sie die Anweisungen zum Konfigurieren des Ereignisexports aus Kaspersky Security Center.
Morphisec
Legen Sie Ihre Sicherheitslösung fest, um Syslog-Nachrichten im CEF-Format an den Proxycomputer zu senden. Die Protokolle müssen über TCP-Port 514 an die IP-Adresse des Computers gesendet werden.
Netwrix Auditor
Befolgen Sie die Anweisungen, um den Ereignisexport aus Netwrix Auditor zu konfigurieren.
NozomiNetworks
Führen Sie die folgenden Schritte aus, um das Nozomi Networks-Gerät so zu konfigurieren, dass Warnungen, Überwachungs- und Integritätsprotokolle über Syslog im CEF-Format gesendet werden:
- Melden Sie sich bei der Guardian-Konsole an.
- Navigieren Sie zu "Administration> Datenintegration".
- Wählen Sie + Hinzufügen aus.
- Wählen Sie in der Dropdownliste das Common Event Format (CEF) aus.
- Erstellen Sie neuen Endpunkt mit den entsprechenden Hostinformationen.
- Aktivieren Sie Benachrichtigungen, Überwachungsprotokolle und Integritätsprotokolle zum Senden.
Onapsis Platform
Informationen zum Einrichten der Protokollweiterleitung an den Syslog-Agent finden Sie in der Onapsis-In-Product-Hilfe.
Wechseln Sie zum Einrichten>von Drittanbieterintegrationen>"Alarme verteidigen", und folgen Sie den Anweisungen für Microsoft Sentinel.
Stellen Sie sicher, dass Die Onapsis-Konsole den Proxycomputer erreichen kann, auf dem der Agent installiert ist. Die Protokolle sollten mit TCP an Port 514 gesendet werden.
OSSEC
Führen Sie die folgenden Schritte aus, um OSSEC für das Senden von Warnungen über Syslog zu konfigurieren.
Palo Alto - XDR (Cortex)
Konfigurieren Sie Palo Alto XDR (Cortex), um Nachrichten im CEF-Format über den Syslog-Agent an Ihren Microsoft Sentinel-Arbeitsbereich weiterzuleiten.
- Wechseln Sie zu Cortex-Einstellungen und -Konfigurationen.
- Wählen Sie diese Option aus, um "Neuer Server" unter "Externe Anwendungen" hinzuzufügen.
- Geben Sie dann den Namen an, und geben Sie der öffentlichen IP Ihres Syslog-Servers in Destination.
- Geben Sie portnummer als 514 an.
- Wählen Sie im Feld "Einrichtung" FAC_SYSLOG aus der Dropdownliste aus.
- Wählen Sie "Protokoll " als UDP aus.
- Klicken Sie auf Erstellen.
PaloAlto-PAN-OS
Konfigurieren Sie Palo Alto Networks so, dass Syslog-Nachrichten im CEF-Format über den Syslog-Agent an Ihren Microsoft Sentinel-Arbeitsbereich weitergeleitet werden.
Navigieren Sie zu Konfigurieren von Palo Alto Networks NGFW für das Senden von CEF-Ereignissen.
Navigieren Sie zu den Schritten 2 und 3, Palo Alto CEF Configuration (Palo Alto CEF-Konfiguration) und Palo Alto Configure Syslog Monitoring (Konfigurieren der Syslog-Überwachung), wählen Sie Ihre Version aus, und folgen Sie den Anweisungen anhand der folgenden Richtlinien:
- Legen Sie das Syslog-Serverformat auf BSD fest.
- Kopieren Sie den Text in einen Editor, und entfernen Sie alle Zeichen, die das Protokollformat unterbrechen könnten, bevor Sie ihn einfügen. Bei den Kopieren/Einfügen-Vorgängen aus der PDF-Datei kann es vorkommen, dass Text geändert wird und zufällige Zeichen eingefügt werden.
PaloAltoCDL
Befolgen Sie die Anweisungen zum Konfigurieren der Protokollweiterleitung von Cortex Data Lake zu einem Syslog Server.
PingFederate
Führen Sie diese Schritte aus, um das Senden des PingFederate-Überwachungsprotokolls über Syslog im CEF-Format zu konfigurieren.
RidgeSecurity
Konfigurieren Sie den RidgeBot so, dass Ereignisse wie hier beschrieben an syslog-Server weitergeleitet werden. Generieren Sie ein paar Angriffsereignisse für Ihre Anwendung.
SonicWall Firewall
Legen Sie Ihre SonicWall Firewall so fest, dass Syslog-Nachrichten im CEF-Format an den Proxycomputer gesendet werden. Die Protokolle müssen über TCP-Port 514 an die IP-Adresse des Computers gesendet werden.
Folgen Sie den Anweisungen. Stellen Sie dann sicher, dass Sie die lokale Verwendung 4 als Facility auswählen. Wählen Sie dann ArcSight als Syslog-Format aus.
Trend Micro Apex One
Führen Sie die folgenden Schritte aus, um Apex Central für das Senden von Warnungen über Syslog zu konfigurieren. Wählen Sie während der Konfiguration in Schritt 6 das Protokollformat CEF aus.
Trend Micro Deep Security
Legen Sie Ihre Sicherheitslösung fest, um Syslog-Nachrichten im CEF-Format an den Proxycomputer zu senden. Die Protokolle müssen über den TCP-Port 514 der IP-Adresse des Computers gesendet werden.
- Forward Trend Micro Deep Security-Ereignisse an den Syslog-Agent.
- Definieren Sie eine neue Syslog-Konfiguration, die das CEF-Format verwendet, indem Sie auf diesen Wissensartikel verweisen, um weitere Informationen zu erhalten.
- Konfigurieren Sie den Deep Security Manager so, dass diese neue Konfiguration verwendet wird, um Ereignisse mithilfe dieser Anweisungen an den Syslog-Agent weiterzuleiten.
- Speichern Sie die Funktion TrendMicroDeepSecurity, damit die Trend Micro Deep Security-Daten ordnungsgemäß abgefragt werden.
Trend Micro TippingPoint
Legen Sie Ihre TippingPoint-SMS so fest, dass Syslog-Nachrichten im ArcSight CEF Format v4.2-Format an den Proxycomputer gesendet werden. Die Protokolle müssen über TCP-Port 514 an die IP-Adresse des Computers gesendet werden.
vArmour Application Controller
Senden Sie Syslog-Nachrichten im CEF-Format an den Proxycomputer. Die Protokolle müssen über TCP-Port 514 an die IP-Adresse des Computers gesendet werden.
Laden Sie das Benutzerhandbuch von https://support.varmour.com/hc/en-us/articles/360057444831-vArmour-Application-Controller-6-0-User-Guide herunter. Lesen Sie in der Anleitung "Konfigurieren von Syslog für Überwachung und Verstöße" und führen Sie die Schritte 1 bis 3 aus.
Vectra AI Detect
Konfigurieren Sie den Vectra-Agent (X Series), um Syslog-Nachrichten im CEF-Format über den Syslog-Agent an Ihren Microsoft Sentinel-Arbeitsbereich weiterzuleiten.
Navigieren Sie auf der Vectra-Benutzeroberfläche zu "Einstellungsbenachrichtigungen > " und "Syslog-Konfiguration bearbeiten". Folgen Sie den unten stehenden Anweisungen, um die Verbindung herzustellen:
- Fügen Sie ein neues Ziel hinzu (das ist der Host, auf dem der Syslog-Agent von Microsoft Sentinel ausgeführt wird).
- Legen Sie den Port als 514 fest.
- Legen Sie das Protokoll als UDP fest.
- Legen Sie das Format auf CEF fest.
- Legen Sie Protokolltypen fest. Wählen Sie alle verfügbaren Protokolltypen aus.
- Wählen Sie Speichern aus.
- Wählen Sie die Schaltfläche "Test " aus, um einige Testereignisse zu senden.
Weitere Informationen finden Sie im Syslog-Leitfaden zu Cognito Detect, den Sie auf der Ressourcenseite der Benutzeroberfläche von Detect herunterladen können.
Votiro
Legen Sie Votiro-Endpunkte fest, um Syslog-Nachrichten im CEF-Format an den Weiterleitungscomputer zu senden. Stellen Sie sicher, dass Sie die Protokolle an Port 514 TCP auf der IP-Adresse des Weiterleitungscomputers senden.
WireX Network Forensics Platform
Wenden Sie sich an den WireX-Support (https://wirexsystems.com/contact-us/), um Ihre NFP-Lösung so zu konfigurieren, dass Syslog-Nachrichten im CEF-Format an den Proxycomputer gesendet werden. Stellen Sie sicher, dass der zentrale Manager die Protokolle an Port 514 TCP an die IP-Adresse des Computers senden kann.
WithSecure Elements via Connector
Verbinden Sie Ihre WithSecure Elements Connector-Appliance mit Microsoft Sentinel. Mit dem WithSecure Elements Connector-Datenconnector können Sie ihre WithSecure Elements-Protokolle ganz einfach mit Microsoft Sentinel verbinden, Dashboards anzeigen, benutzerdefinierte Warnungen erstellen und die Untersuchung verbessern.
Hinweis
Daten werden am geografischen Standort des Arbeitsbereichs gespeichert, in dem Sie Microsoft Sentinel ausführen.
Konfigurieren Sie mit Secure Elements Connector, um Syslog-Nachrichten im CEF-Format über den Syslog-Agent an Ihren Log Analytics-Arbeitsbereich weiterzuleiten.
- Wählen Oder erstellen Sie einen Linux-Computer für Microsoft Sentinel, der als Proxy zwischen Ihrer WithSecurity-Lösung und Microsoft Sentinel verwendet werden soll. Der Computer kann eine lokale Umgebung, Microsoft Azure oder eine andere cloudbasierte Umgebung sein. Unter Linux müssen
syslog-ng
undpython
/python3
installiert sein. - Installieren Sie den Azure Monitoring Agent (AMA) auf Ihrem Linux-Computer, und konfigurieren Sie den Computer, um den erforderlichen Port zu überwachen und Nachrichten an Ihren Microsoft Sentinel-Arbeitsbereich weiterzuleiten. Der CEF-Collector sammelt CEF-Nachrichten am TCP-Port 514. Sie müssen über erhöhte Berechtigungen (sudo) auf dem Computer verfügen.
- Wechseln Sie im WithSecure Elements Portal zu EPP . Navigieren Sie dann zu "Downloads". Wählen Sie im Abschnitt "Elements Connector" die Option "Abonnementschlüssel erstellen" aus. Sie können Ihren Abonnementschlüssel in Abonnements überprüfen.
- Wählen Sie im Abschnitt "Downloads" im Abschnitt "WithSecure Elements Connector" das richtige Installationsprogramm aus, und laden Sie es herunter.
- Wenn Sie sich in EPP befinden, öffnen Sie die Kontoeinstellungen in der oberen rechten Ecke. Wählen Sie dann "Verwaltungs-API-Schlüssel abrufen" aus. Wenn der Schlüssel zuvor erstellt wurde, kann er auch dort gelesen werden.
- Um den Elements Connector zu installieren, folgen Sie den Elementen Connector-Dokumenten.
- Wenn der API-Zugriff während der Installation nicht konfiguriert ist, folgen Sie der Konfiguration des API-Zugriffs für den Elements Connector.
- Wechseln Sie zu EPP, dann "Profile", und verwenden Sie dann "For Connector ", von wo aus Sie die Verbinderprofile sehen können. Erstellen Sie ein neues Profil (oder bearbeiten Sie ein vorhandenes nicht schreibgeschütztes Profil). Aktivieren Sie sie in der Ereignisweiterleitung. Legen Sie die SIEM-Systemadresse fest: 127.0.0.1:514. Legen Sie das Format auf Common Event Format fest. Das Protokoll ist TCP. Speichern Sie das Profil, und weisen Sie es elementen Connector auf der Registerkarte "Geräte" zu.
- Um das relevante Schema in Log Analytics für den WithSecure Elements Connector zu verwenden, suchen Sie nach CommonSecurityLog.
- Fahren Sie mit der Überprüfung Ihrer CEF-Konnektivität fort.
Zscaler
Legen Sie das Zscaler-Produkt so fest, dass Syslog-Nachrichten im CEF-Format an Ihren Syslog-Agent gesendet werden. Stellen Sie sicher, dass Sie die Protokolle an Port 514 TCP senden.
Weitere Informationen finden Sie im Microsoft Sentinel-Integrationshandbuch für Zscaler.