Syslog tramite il connettore dati AMA - Configurare un'appliance o un dispositivo specifico per l'inserimento dati di Microsoft Sentinel
La raccolta di log da molti dispositivi e appliance di sicurezza è supportata da Syslog tramite il connettore dati AMA in Microsoft Sentinel. Questo articolo elenca le istruzioni di installazione fornite dal provider per dispositivi e dispositivi di sicurezza specifici che usano questo connettore dati. Contattare il provider per gli aggiornamenti, altre informazioni o la posizione in cui le informazioni non sono disponibili per l'appliance di sicurezza o il dispositivo.
Per inoltrare i dati all'area di lavoro Log Analytics per Microsoft Sentinel, completare i passaggi descritti in Inserire messaggi syslog e CEF a Microsoft Sentinel con l'agente di Monitoraggio di Azure. Al termine di questi passaggi, installare Syslog tramite il connettore dati AMA in Microsoft Sentinel. Usare quindi le istruzioni del provider appropriato in questo articolo per completare la configurazione.
Per altre informazioni sulla soluzione Microsoft Sentinel correlata per ognuna di queste appliance o dispositivi, cercare i modelli di soluzione tipo di>prodotto in Azure Marketplace o esaminare la soluzione dall'hub contenuto in Microsoft Sentinel.
Barracuda CloudGen Firewall
Seguire le istruzioni per configurare lo streaming syslog. Usare l'indirizzo IP o il nome host per il computer Linux con l'agente di Microsoft Sentinel installato per l'indirizzo IP di destinazione.
Blackberry CylancePROTECT
Seguire queste istruzioni per configurare CylancePROTECT per inoltrare syslog. Usare l'indirizzo IP o il nome host per il dispositivo Linux con l'agente Linux installato come indirizzo IP di destinazione.
Cisco Application Centric Infrastructure (ACI)
Configurare il sistema Cisco ACI per inviare i log tramite syslog al server remoto in cui si installa l'agente. Seguire questa procedura per configurare la destinazione Syslog, il gruppo di destinazione e l'origine Syslog.
Questo connettore dati è stato sviluppato usando Cisco ACI Release 1.x.
Cisco Identity Services Engine (ISE)
Seguire queste istruzioni per configurare i percorsi di raccolta syslog remoti nella distribuzione cisco ISE.
Cisco Stealthwatch
Completare i passaggi di configurazione seguenti per ottenere i log di Cisco Stealthwatch in Microsoft Sentinel.
Accedere a Stealthwatch Management Console (SMC) come amministratore.
Nella barra dei menu selezionare Configuration Response Management(Gestione risposta configurazione>).
Nella sezione Azioni del menu Gestione risposta selezionare Aggiungi > messaggio Syslog.
Nella finestra Aggiungi azione messaggio Syslog configurare i parametri.
Immettere il formato personalizzato seguente:
|Lancope|Stealthwatch|7.3|{alarm_type_id}|0x7C|src={source_ip}|dst={target_ip}|dstPort={port}|proto={protocol}|msg={alarm_type_description}|fullmessage={details}|start={start_active_time}|end={end_active_time}|cat={alarm_category_name}|alarmID={alarm_id}|sourceHG={source_host_group_names}|targetHG={target_host_group_names}|sourceHostSnapshot={source_url}|targetHostSnapshot={target_url}|flowCollectorName={device_name}|flowCollectorIP={device_ip}|domain={domain_name}|exporterName={exporter_hostname}|exporterIPAddress={exporter_ip}|exporterInfo={exporter_label}|targetUser={target_username}|targetHostname={target_hostname}|sourceUser={source_username}|alarmStatus={alarm_status}|alarmSev={alarm_severity_name}
Selezionare il formato personalizzato dall'elenco e OK.
Selezionare Regole di gestione > delle risposte.
Selezionare Aggiungi allarme host.
Specificare un nome di regola nel campo Nome.
Creare regole selezionando i valori nei menu Tipo e Opzioni . Per aggiungere altre regole, selezionare l'icona con i puntini di sospensione. Per un allarme host, combinare il maggior numero possibile di tipi in un'istruzione.
Questo connettore dati è stato sviluppato con Cisco Stealthwatch versione 7.3.2
Cisco Unified Computing Systems (UCS)
Seguire queste istruzioni per configurare Cisco UCS per inoltrare syslog. Usare l'indirizzo IP o il nome host per il dispositivo Linux con l'agente Linux installato come indirizzo IP di destinazione.
Nota
La funzionalità di questo connettore dati è basata su un parser basato su funzione Kusto, che è parte integrante dell'operazione. Questo parser viene distribuito come parte dell'installazione della soluzione.
Aggiornare il parser e specificare il nome host dei computer di origine che trasmettono i log nella prima riga del parser.
Per accedere al codice della funzione all'interno di Log Analytics, passare alla sezione Log Analytics/Log di Microsoft Sentinel, selezionare Funzioni e cercare l'alias CiscoUCS. In alternativa, caricare direttamente il codice della funzione. L'aggiornamento potrebbe richiedere circa 15 minuti dopo l'installazione.
Cisco Web Security Appliance (WSA)
Configurare Cisco per inoltrare i log tramite syslog al server remoto in cui si installa l'agente. Seguire questa procedura per configurare Cisco WSA per inoltrare i log tramite Syslog
Selezionare Syslog Push come metodo di recupero.
Questo connettore dati è stato sviluppato con AsyncOS 14.0 per Cisco Web Security Appliance
Citrix Application Delivery Controller (ADC)
Configurare Citrix ADC (ex NetScaler) per inoltrare i log tramite Syslog.
- Passare alla scheda > Configurazione Controllo sistema > > Dei server Syslog >
- Specificare il nome dell'azione Syslog.
- Impostare l'indirizzo IP del server e della porta Syslog remoti.
- Impostare Tipo di trasporto come TCP o UDP a seconda della configurazione del server syslog remoto.
- Per altre informazioni, vedere la documentazione di Citrix ADC (ex NetScaler).
Nota
La funzionalità di questo connettore dati è basata su un parser basato su funzione Kusto, che è parte integrante dell'operazione. Questo parser viene distribuito come parte dell'installazione della soluzione. Per accedere al codice della funzione all'interno di Log Analytics, passare alla sezione Log Analytics/Log di Microsoft Sentinel, selezionare Funzioni e cercare l'alias CitrixADCEvent. In alternativa, è possibile caricare direttamente il codice della funzione. L'aggiornamento potrebbe richiedere circa 15 minuti dopo l'installazione.
Questo parser richiede un watchlist denominato Sources_by_SourceType
.
i. Se l'elenco di controllo non è già stato creato, creare un watchlist da Microsoft Sentinel nel portale di Azure.
ii. Aprire watchlist Sources_by_SourceType
e aggiungere voci per questa origine dati.
ii. Il valore SourceType per CitrixADC è CitrixADC
.
Per altre informazioni, vedere Gestire parser ASIM (Advanced Security Information Model).
Digital Guardian Data Loss Prevention
Completare i passaggi seguenti per configurare Digital Guardian per l'inoltro dei log tramite Syslog:
- Accedere alla Console di gestione di Digital Guardian.
- Selezionare Area di lavoro>Esportazione dati>Crea esportazione.
- Nell'elenco Origini dati selezionare Avvisi o Eventi come origine dati.
- Nell'elenco Tipo di esportazione selezionare Syslog.
- Nell'elenco Tipo selezionare UDP o TCP come protocollo di trasporto.
- Nel campo Server digitare l'indirizzo IP del server syslog remoto.
- Nel campo Porta digitare 514 o un'altra porta se il server syslog è stato configurato per l'uso della porta non predefinita.
- Nell'elenco Livello di gravità selezionare un livello di gravità.
- Selezionare la casella di controllo Attivo.
- Selezionare Avanti.
- Nell'elenco dei campi disponibili aggiungere i campi Avviso o Evento per l'esportazione dei dati.
- Selezionare criteri per i campi nell'esportazione dei dati e Avanti.
- Selezionare un gruppo per i criteri e Avanti.
- Selezionare Query di test.
- Selezionare Avanti.
- Salvare l'esportazione dati.
Integrazione di ESET Protect
Configurare ESET PROTECT per inviare tutti gli eventi tramite Syslog.
- Seguire queste istruzioni per configurare l'output syslog. Assicurarsi di selezionare BSD come formato e TCP come trasporto.
- Seguire queste istruzioni per esportare tutti i log in syslog. Selezionare JSON come formato di output.
Exabeam Advanced Analytics
Seguire queste istruzioni per inviare i dati del log attività di Exabeam Advanced Analytics tramite syslog.
Questo connettore dati è stato sviluppato usando Exabeam Advanced Analytics i54 (Syslog)
Forescout
Completare i passaggi seguenti per ottenere i log di Forescout in Microsoft Sentinel.
- Selezionare un'appliance da configurare.
- Seguire queste istruzioni per inoltrare avvisi dalla piattaforma Forescout a un server syslog.
- Configurare le impostazioni nella scheda Trigger Syslog.
Questo connettore dati è stato sviluppato usando la versione del plug-in Forescout Syslog: v3.6
Gitlab
Seguire queste istruzioni per inviare i dati dei log di controllo gitlab tramite syslog.
ISC Bind
- Seguire queste istruzioni per configurare l'associazione ISC per inoltrare syslog: log DNS.
- Configurare syslog per inviare il traffico syslog all'agente. Usare l'indirizzo IP o il nome host per il dispositivo Linux con l'agente Linux installato come indirizzo IP di destinazione.
Infoblox Network Identity Operating System (NIOS)
Seguire queste istruzioni per abilitare l'inoltro syslog dei log NIOS di Infoblox. Usare l'indirizzo IP o il nome host per il dispositivo Linux con l'agente Linux installato come indirizzo IP di destinazione.
Nota
La funzionalità di questo connettore dati è basata su un parser basato su funzione Kusto, che è parte integrante dell'operazione. Questo parser viene distribuito come parte dell'installazione della soluzione.
Per accedere al codice della funzione in Log Analytics, passare alla sezione Log Analytics/Log di Microsoft Sentinel, selezionare Funzioni e cercare l'alias Infoblox. In alternativa, è possibile caricare direttamente il codice della funzione. L'aggiornamento potrebbe richiedere circa 15 minuti dopo l'installazione.
Questo parser richiede un watchlist denominato Sources_by_SourceType
.
i. Se l'elenco di controllo non è già stato creato, creare un watchlist da Microsoft Sentinel nel portale di Azure.
ii. Aprire watchlist Sources_by_SourceType
e aggiungere voci per questa origine dati.
ii. Il valore SourceType per InfobloxNIOS è InfobloxNIOS
.
Per altre informazioni, vedere Gestire parser ASIM (Advanced Security Information Model).
Ivanti Unified Endpoint Management
Seguire le istruzioni per configurare azioni di avviso per inviare i log al server syslog.
Questo connettore dati è stato sviluppato usando Ivanti Unified Endpoint Management Release 2021.1 Versione 11.0.3.374
Juniper SRX
Completare le istruzioni seguenti per configurare Juniper SRX per inoltrare syslog:
Usare l'indirizzo IP o il nome host per il dispositivo Linux con l'agente Linux installato come indirizzo IP di destinazione.
McAfee Network Security Platform
Completare i passaggi di configurazione seguenti per ottenere i log di McAfee® Network Security Platform in Microsoft Sentinel.
Inoltrare avvisi dal gestore a un server syslog.
È necessario aggiungere un profilo di notifica syslog. Durante la creazione del profilo, per assicurarsi che gli eventi siano formattati correttamente, immettere il testo seguente nella casella di testo Messaggio:
<SyslogAlertForwarderNSP>:|SENSOR_ALERT_UUID|ALERT_TYPE|ATTACK_TIME|ATTACK_NAME|ATTACK_ID
|ATTACK_SEVERITY|ATTACK_SIGNATURE|ATTACK_CONFIDENCE|ADMIN_DOMAIN|SENSOR_NAME|INTERFACE
|SOURCE_IP|SOURCE_PORT|DESTINATION_IP|DESTINATION_PORT|CATEGORY|SUB_CATEGORY
|DIRECTION|RESULT_STATUS|DETECTION_MECHANISM|APPLICATION_PROTOCOL|NETWORK_PROTOCOL|
Questo connettore dati è stato sviluppato con McAfee® Network Security Platform versione: 10.1.x.
McAfee ePolicy Orchestrator
Per indicazioni su come registrare un server syslog, contattare il provider.
Microsoft Sysmon per Linux
Per funzionare come previsto, questo connettore di dati dipende dai parser ASIM basati sulle Funzioni Kusto. Distribuire i parser.
Vengono distribuite le funzioni seguenti:
- vimFileEventLinuxSysmonFileCreated, vimFileEventLinuxSysmonFileDeleted
- vimProcessCreateLinuxSysmon, vimProcessTerminateLinuxSysmon
- vimNetworkSessionLinuxSysmon
Nasuni
Seguire le istruzioni nella Guida alla Console di gestione nasuni per configurare appliance Nasuni Edge per inoltrare gli eventi syslog. Usare l'indirizzo IP o il nome host del dispositivo Linux che esegue l'agente di Monitoraggio di Azure nel campo Configurazione server per le impostazioni syslog.
OpenVPN
Installare l'agente nel server in cui viene inoltrato OpenVPN. I log del server OpenVPN vengono scritti nel file syslog comune (a seconda della distribuzione Linux usata, ad esempio /var/log/messages).
Audit di Oracle Database
Effettuare i seguenti passaggi.
- Creare il database Oracle Seguire questa procedura.
- Accedere al database Oracle creato. Effettuare i passaggi seguenti.
- Abilitare la registrazione unificata su syslog Alterando il sistema per abilitare la registrazione unificataSeguendo questa procedura.
- Creare e abilitare un criterio di audit per il audit unificatoSeguire questa procedura.
- Abilitare syslog e Visualizzatore eventi Acquisisce per il Audit Trail unificato Seguire questa procedura.
Pulse Connect Secure
Seguire le istruzioni per abilitare lo streaming syslog dei log di Pulse Connect Secure. Usare l'indirizzo IP o il nome host per il dispositivo Linux con l'agente Linux installato come indirizzo IP di destinazione.
Nota
La funzionalità di questo connettore dati è basata su un parser basato su funzione Kusto, che è parte integrante dell'operazione. Questo parser viene distribuito come parte dell'installazione della soluzione.
Aggiornare il parser e specificare il nome host dei computer di origine che trasmettono i log nella prima riga del parser.
Per accedere al codice della funzione all'interno di Log Analytics, passare alla sezione Log Analytics/Log di Microsoft Sentinel, selezionare Funzioni e cercare l'alias PulseConnectSecure. In alternativa, caricare direttamente il codice della funzione. L'aggiornamento potrebbe richiedere circa 15 minuti dopo l'installazione.
RSA SecurID
Completare i passaggi seguenti per ottenere i log di RSA® SecurID Authentication Manager in Microsoft Sentinel. Seguire queste istruzioni per inoltrare avvisi da Manager a un server syslog.
Nota
La funzionalità di questo connettore dati è basata su un parser basato su funzione Kusto, che è parte integrante dell'operazione. Questo parser viene distribuito come parte dell'installazione della soluzione.
Aggiornare il parser e specificare il nome host dei computer di origine che trasmettono i log nella prima riga del parser.
Per accedere al codice della funzione in Log Analytics, passare alla sezione Log Analytics/Log di Microsoft Sentinel, selezionare Funzioni e cercare l'alias RSASecurIDAMEvent. In alternativa, è possibile caricare direttamente il codice della funzione. L'aggiornamento potrebbe richiedere circa 15 minuti dopo l'installazione.
Questo connettore dati è stato sviluppato usando RSA SecurID Authentication Manager versione: 8.4 e 8.5
Sophos XG Firewall
Seguire queste istruzioni per abilitare lo streaming syslog. Usare l'indirizzo IP o il nome host per il dispositivo Linux con l'agente Linux installato come indirizzo IP di destinazione.
Nota
La funzionalità di questo connettore dati è basata su un parser basato su funzione Kusto, che è parte integrante dell'operazione. Questo parser viene distribuito come parte dell'installazione della soluzione.
Aggiornare il parser e specificare il nome host dei computer di origine che trasmettono i log nella prima riga del parser. Per accedere al codice della funzione in Log Analytics, passare alla sezione Log Analytics/Log di Microsoft Sentinel, selezionare Funzioni e cercare l'alias SophosXGFirewall. In alternativa, caricare direttamente il codice della funzione. L'aggiornamento potrebbe richiedere circa 15 minuti dopo l'installazione.
Symantec Endpoint Protection
Seguire queste istruzioni per configurare Symantec Endpoint Protection per inoltrare syslog. Usare l'indirizzo IP o il nome host per il dispositivo Linux con l'agente Linux installato come indirizzo IP di destinazione.
Nota
La funzionalità di questo connettore dati è basata su un parser basato su funzione Kusto, che è parte integrante dell'operazione. Questo parser viene distribuito come parte dell'installazione della soluzione.
Aggiornare il parser e specificare il nome host dei computer di origine che trasmettono i log nella prima riga del parser. Per accedere al codice della funzione all'interno di Log Analytics, passare alla sezione Log Analytics/Log di Microsoft Sentinel, selezionare Funzioni e cercare l'alias SymantecEndpointProtection. In alternativa, è possibile caricare direttamente il codice della funzione. L'aggiornamento potrebbe richiedere circa 15 minuti dopo l'installazione.
Symantec ProxySG
Accedere alla Console di gestione blue coat.
Selezionare Configuration Access Logging Formats (Formati di registrazione accesso alla configurazione>>).
Selezionare Nuovo.
Immettere un nome univoco nel campo Formato nome .
Selezionare il pulsante di opzione per Stringa di formato personalizzata e incollare la stringa seguente nel campo.
1 $(date) $(time) $(time-taken) $(c-ip) $(cs-userdn) $(cs-auth-groups) $(x-exception-id) $(sc-filter-result) $(cs-categories) $(quot)$(cs(Referer))$(quot) $(sc-status) $(s-action) $(cs-method) $(quot)$(rs(Content-Type))$(quot) $(cs-uri-scheme) $(cs-host) $(cs-uri-port) $(cs-uri-path) $(cs-uri-query) $(cs-uri-extension) $(quot)$(cs(User-Agent))$(quot) $(s-ip) $(sr-bytes) $(rs-bytes) $(x-virus-id) $(x-bluecoat-application-name) $(x-bluecoat-application-operation) $(cs-uri-port) $(x-cs-client-ip-country) $(cs-threat-risk)
Seleziona OK.
Selezionare Applican.
Seguire queste istruzioni per abilitare lo streaming syslog dei log di Accesso . Usare l'indirizzo IP o il nome host per il dispositivo Linux con l'agente Linux installato come indirizzo IP di destinazione
Nota
La funzionalità di questo connettore dati è basata su un parser basato su funzione Kusto, che è parte integrante dell'operazione. Questo parser viene distribuito come parte dell'installazione della soluzione.
Aggiornare il parser e specificare il nome host dei computer di origine che trasmettono i log nella prima riga del parser.
Per accedere al codice della funzione in Log Analytics, passare alla sezione Log Analytics/Log di Microsoft Sentinel, selezionare Funzioni e cercare l'alias SymantecProxySG. In alternativa, caricare direttamente il codice della funzione. L'aggiornamento potrebbe richiedere circa 15 minuti dopo l'installazione.
Symantec VIP
Seguire queste istruzioni per configurare Symantec VIP Enterprise Gateway per inoltrare syslog. Usare l'indirizzo IP o il nome host per il dispositivo Linux con l'agente Linux installato come indirizzo IP di destinazione.
Nota
La funzionalità di questo connettore dati è basata su un parser basato su funzione Kusto, che è parte integrante dell'operazione. Questo parser viene distribuito come parte dell'installazione della soluzione.
Aggiornare il parser e specificare il nome host dei computer di origine che trasmettono i log nella prima riga del parser.
Per accedere al codice della funzione in Log Analytics, passare alla sezione Log Analytics/Log di Microsoft Sentinel, selezionare Funzioni e cercare l'alias SymantecVIP. In alternativa, caricare direttamente il codice della funzione. L'aggiornamento potrebbe richiedere circa 15 minuti dopo l'installazione.
VMware ESXi
Seguire queste istruzioni per configurare VMware ESXi per inoltrare syslog:
Usare l'indirizzo IP o il nome host per il dispositivo Linux con l'agente Linux installato come indirizzo IP di destinazione.
Nota
La funzionalità di questo connettore dati è basata su un parser basato su funzione Kusto, che è parte integrante dell'operazione. Questo parser viene distribuito come parte dell'installazione della soluzione.
Aggiornare il parser e specificare il nome host dei computer di origine che trasmettono i log nella prima riga del parser.
Per accedere al codice della funzione in Log Analytics, passare alla sezione Log Analytics/Log di Microsoft Sentinel, selezionare Funzioni e cercare l'alias VMwareESXi. In alternativa, caricare direttamente il codice della funzione. L'aggiornamento potrebbe richiedere circa 15 minuti dopo l'installazione.
WatchGuard Firebox
Seguire queste istruzioni per inviare i dati di log di WatchGuard Firebox tramite syslog.