[Preterido] Conector Zscaler Private Access para Microsoft Sentinel
Importante
A coleta de logs de muitos dispositivos e dispositivos agora é suportada pelo Common Event Format (CEF) via AMA, Syslog via AMA ou Custom Logs via conector de dados AMA no Microsoft Sentinel. Para obter mais informações, veja Localizar o conector de dados do Microsoft Sentinel.
O conector de dados Zscaler Private Access (ZPA) permite ingerir eventos Zscaler Private Access no Microsoft Sentinel. Consulte a documentação do Zscaler Private Access para obter mais informações.
Trata-se de conteúdo gerado automaticamente. Para alterações, entre em contato com o provedor da solução.
Atributos do conector
| Atributo do conector | Description |
|---|---|
| Alias de função Kusto | ZPAEvent |
| URL da função Kusto | https://aka.ms/sentinel-ZscalerPrivateAccess-parser |
| Tabela(s) do Log Analytics | ZPA_CL |
| Suporte a regras de coleta de dados | Não é suportado atualmente |
| Apoiado por | Corporação Microsoft |
Exemplos de consulta
Todos os registos
ZPAEvent
| sort by TimeGenerated
Instruções de instalação do fornecedor
Nota
Este conector de dados depende de um analisador baseado em uma função Kusto para funcionar conforme o esperado. Siga estas etapas para criar o alias Kusto Functions, ZPAEvent
Nota
Este conector de dados foi desenvolvido utilizando a versão Zscaler Private Access: 21.67.1
- Instalar e integrar o agente para Linux ou Windows
Instale o agente no servidor para onde são encaminhados os registos do Zscaler Private Access.
Os registos do Zscaler Private Access Server implantados em servidores Linux ou Windows são recolhidos por agentes Linux ou Windows .
- Configurar os logs a serem coletados
Siga os passos de configuração abaixo para obter os registos do Zscaler Private Access no Microsoft Sentinel. Consulte a Documentação do Azure Monitor para obter mais detalhes sobre estas etapas. Os registos do Zscaler Private Access são entregues através do Log Streaming Service (LSS). Consulte a documentação do LSS para obter informações detalhadas
Configure os recetores de log. Ao configurar um recetor de log, escolha JSON como modelo de log.
Baixar arquivo de configuração zpa.conf wget -v https://aka.ms/sentinel-zscalerprivateaccess-conf -O zpa.conf
Faça logon no servidor onde você instalou o agente do Azure Log Analytics.
Copie zpa.conf para a pasta /etc/opt/microsoft/omsagent/workspace_id/conf/omsagent.d/.
Edite zpa.conf da seguinte forma:
a. especificar a porta para a qual definiu os seus recetores de registo Zscaler para encaminhar registos (linha 4)
b. zpa.conf usa a porta 22033 por padrão. Verifique se essa porta não está sendo usada por nenhuma outra fonte no seu servidor
c. Se você gostaria de alterar a porta padrão para zpa.conf , certifique-se de que ela não deve entrar em conflito com as portas padrão do agente AMA, ou seja, (Por exemplo, o CEF usa a porta TCP 25226 ou 25224)
d. substitua workspace_id pelo valor real do ID do espaço de trabalho (linhas 14,15,16,19)
Salve as alterações e reinicie o agente do Azure Log Analytics para o serviço Linux com o seguinte comando: sudo /opt/microsoft/omsagent/bin/service_control restart
Próximos passos
Para obter mais informações, vá para a solução relacionada no Azure Marketplace.