Connettore Elastic Agent (Standalone) per Microsoft Sentinel
Il connettore dati di Elastic Agent offre la possibilità di inserire log, metriche e dati di sicurezza di Elastic Agent in Microsoft Sentinel.
Si tratta di contenuto generato automaticamente. Per le modifiche, contattare il provider di soluzioni.
attributi Connessione or
| Attributo Connessione or | Descrizione |
|---|---|
| Tabelle di Log Analytics | ElasticAgentLogs_CL |
| Supporto delle regole di raccolta dati | Non è al momento supportato |
| Supportata da: | Microsoft Corporation |
Esempi di query
Primi 10 dispositivi
ElasticAgentEvent
| summarize count() by DvcIpAddr
| top 10 by count_
Prerequisiti
Per l'integrazione con Elastic Agent (Standalone) assicurarsi di avere:
- Includere prerequisiti personalizzati se la connettività richiede : altrimenti eliminare le dogane: Descrizione per qualsiasi prerequisito personalizzato
Istruzioni di installazione fornitore
Nota
Questo connettore dati dipende da un parser basato su una funzione Kusto per funzionare come previsto elasticAgentEvent distribuito con la soluzione Microsoft Sentinel.
Nota
Questo connettore dati è stato sviluppato usando Elastic Agent 7.14.
- Installare ed eseguire l'onboarding dell'agente per Linux o Windows
Installare l'agente nel server in cui vengono inoltrati i log dell'agente elastico.
I log degli agenti elastici distribuiti in server Linux o Windows vengono raccolti dagli agenti Linux o Windows .
- Configurare l'agente elastico (autonomo)
Seguire le istruzioni per configurare Elastic Agent per l'output in Logstash
- Configurare Logstash per l'uso del plug-in di output Microsoft Logstash
Seguire la procedura per configurare Logstash per l'uso del plug-in microsoft-logstash-output-azure-loganalytics:
3.1) Controllare se il plug-in è già installato:
Elenco di plug-in ./logstash-plugin | grep 'azure-loganalytics' (se il plug-in è installato andare al passaggio 3.3)
3.2) Installare il plug-in:
./logstash-plugin install microsoft-logstash-output-azure-loganalytics
3.3) Configurare Logstash per l'uso del plug-in
- Convalidare l'inserimento dei log
Seguire le istruzioni per convalidare la connettività:
Aprire Log Analytics per verificare se i log vengono ricevuti usando la tabella personalizzata specificata nel passaggio 3.3 (ad esempio, ElasticAgentLogs_CL).
Potrebbero essere necessari circa 30 minuti fino a quando i dati della connessione non passano all'area di lavoro.
Passaggi successivi
Per altre informazioni, vedere la soluzione correlata in Azure Marketplace.