Conector do Elastic Agent (autônomo) para Microsoft Sentinel

O conector de dados do Elastic Agent fornece a capacidade de ingerir logs, métricas e dados de segurança do Elastic Agent no Microsoft Sentinel.

Trata-se de conteúdo gerado automaticamente. Para alterações, entre em contato com o provedor da solução.

Atributos do conector

Exemplos de consulta

Top 10 Dispositivos

ElasticAgentEvent

| summarize count() by DvcIpAddr

| top 10 by count_

Pré-requisitos

Para integrar com o Elastic Agent (Standalone), certifique-se de:

• Inclua pré-requisitos personalizados se a conectividade exigir - caso contrário, exclua costumes: Descrição para qualquer pré-requisito personalizado

Instruções de instalação do fornecedor

1. Instalar e integrar o agente para Linux ou Windows

Instale o agente no servidor para onde os logs do Elastic Agent são encaminhados.

Os logs dos Elastic Agents implantados em servidores Linux ou Windows são coletados por agentes Linux ou Windows .

2. Configurar o Elastic Agent (autônomo)

Siga as instruções para configurar o Elastic Agent para saída para o Logstash

3. Configurar o Logstash para usar o plug-in de saída do Microsoft Logstash

Siga as etapas para configurar o Logstash para usar o plug-in microsoft-logstash-output-azure-loganalytics:

3.1) Verifique se o plugin já está instalado:

./logstash-plugin lista | grep 'azure-loganalytics' (se o plug-in estiver instalado, vá para a etapa 3.3)

3.2) Instalar plugin:

./logstash-plugin instalar microsoft-logstash-output-azure-loganalytics

3.3) Configurar o Logstash para usar o plugin

4. Validar a ingestão de log

Siga as instruções para validar sua conectividade:

Abra o Log Analytics para verificar se os logs são recebidos usando a tabela personalizada especificada na etapa 3.3 (por exemplo, ElasticAgentLogs_CL).

Pode levar cerca de 30 minutos até que a conexão transmita dados para seu espaço de trabalho.

Próximos passos

Para obter mais informações, vá para a solução relacionada no Azure Marketplace.