Системный журнал с помощью соединителя данных AMA — настройка конкретного устройства или устройства для приема данных Microsoft Sentinel

Сбор журналов из многих устройств безопасности и устройств поддерживается системным журналом через соединитель данных AMA в Microsoft Sentinel. В этой статье перечислены инструкции по установке для определенных устройств безопасности и устройств, использующих этот соединитель данных. Обратитесь к поставщику за обновлениями, дополнительными сведениями или сведениями, недоступными для устройства безопасности или устройства.

Чтобы перенаправить данные в рабочую область Log Analytics для Microsoft Sentinel, выполните действия, описанные в разделе "Прием сообщений системного журнала и CEF" в Microsoft Sentinel с помощью агента Azure Monitor. По завершении этих действий установите системный журнал через соединитель данных AMA в Microsoft Sentinel. Затем используйте инструкции соответствующего поставщика в этой статье, чтобы завершить настройку.

Дополнительные сведения о связанном решении Microsoft Sentinel для каждого из этих устройств или устройств выполните поиск в Azure Marketplace для шаблонов решений типа>продукта или просмотрите решение из центра содержимого в Microsoft Sentinel.

Barracuda CloudGen Firewall

Следуйте инструкциям по настройке потоковой передачи системного журнала. Используйте IP-адрес или имя узла для компьютера Linux с агентом Microsoft Sentinel, установленным для целевого IP-адреса .

Blackberry CylancePROTECT

Следуйте этим инструкциям , чтобы настроить CylancePROTECT для пересылки системного журнала. Используйте IP-адрес или имя узла для устройства Linux с агентом Linux, установленным в качестве IP-адреса назначения.

Инфраструктура, ориентированная на приложения Cisco (ACI)

Настройте систему Cisco ACI для отправки журналов с помощью системного журнала на удаленный сервер, на котором устанавливается агент. Выполните следующие действия , чтобы настроить назначение syslog, группу назначения и источник системного журнала.

Этот соединитель данных был разработан с помощью Cisco ACI выпуска 1.x.

Подсистема служб удостоверений Cisco (ISE)

Следуйте этим инструкциям, чтобы настроить расположения удаленных сборок системных журналов в развертывании Cisco ISE.

Cisco Stealthwatch

Выполните следующие действия по настройке, чтобы получить журналы Cisco Stealthwatch в Microsoft Sentinel.

  1. Войдите в консоль управления Stealthwatch (SMC) в качестве администратора.

  2. В строке меню выберите "Управление ответами конфигурации>".

  3. В разделе "Действия" в меню "Управление ответами" выберите "Добавить > сообщение системного журнала".

  4. В окне "Добавление действия сообщения системного журнала" настройте параметры.

  5. Введите следующий настраиваемый формат:

    |Lancope|Stealthwatch|7.3|{alarm_type_id}|0x7C|src={source_ip}|dst={target_ip}|dstPort={port}|proto={protocol}|msg={alarm_type_description}|fullmessage={details}|start={start_active_time}|end={end_active_time}|cat={alarm_category_name}|alarmID={alarm_id}|sourceHG={source_host_group_names}|targetHG={target_host_group_names}|sourceHostSnapshot={source_url}|targetHostSnapshot={target_url}|flowCollectorName={device_name}|flowCollectorIP={device_ip}|domain={domain_name}|exporterName={exporter_hostname}|exporterIPAddress={exporter_ip}|exporterInfo={exporter_label}|targetUser={target_username}|targetHostname={target_hostname}|sourceUser={source_username}|alarmStatus={alarm_status}|alarmSev={alarm_severity_name}

  6. Выберите настраиваемый формат из списка и ОК.

  7. Выберите правила управления ответами>.

  8. Нажмите кнопку "Добавить" и "Сигнал узла".

  9. Укажите имя правила в поле "Имя ".

  10. Создайте правила, выбрав значения в меню "Тип " и "Параметры ". Чтобы добавить дополнительные правила, выберите значок многоточия. Для оповещения узла необходимо объединить как можно больше типов в операторе.

Этот соединитель данных был разработан с помощью Cisco Stealthwatch версии 7.3.2

Cisco Unified Computing Systems (UCS)

Следуйте этим инструкциям , чтобы настроить Cisco UCS для пересылки системного журнала. Используйте IP-адрес или имя узла для устройства Linux с агентом Linux, установленным в качестве IP-адреса назначения.

Примечание.

Функциональные возможности этого соединителя данных зависят от средства синтаксического анализа на основе функции Kusto, который является неотъемлемой частью его работы. Этот средство синтаксического анализа развертывается в рамках установки решения.

Обновите средство синтаксического анализа и укажите имя узла исходных компьютеров, передаваемых журналы в первой строке синтаксического анализа.

Чтобы получить доступ к коду функции в Log Analytics, перейдите к разделу Log Analytics/Microsoft Sentinel Logs, выберите "Функции" и найдите псевдоним CiscoUCS. Кроме того, напрямую загрузите код функции. Обновление может занять около 15 минут.

Cisco Web Security Appliance (WSA)

Настройте Cisco для пересылки журналов с помощью системного журнала на удаленный сервер, на котором установлен агент. Выполните следующие действия , чтобы настроить Cisco WSA для пересылки журналов с помощью syslog

Выберите syslog Push в качестве метода извлечения.

Этот соединитель данных был разработан с помощью AsyncOS 14.0 для устройства веб-безопасности Cisco

Контроллер доставки приложений Citrix (ADC)

Настройте Citrix ADC (бывший NetScaler) для пересылки журналов через Системный журнал.

  1. Перейдите на вкладку > "Настройка системного > аудита > серверов системного журнала>"
  2. Укажите имя действия системного журнала.
  3. Задайте IP-адрес удаленного сервера системного журнала и порта.
  4. Задайте тип транспорта как TCP или UDP в зависимости от конфигурации удаленного сервера системного журнала.
  5. Дополнительные сведения см. в документации по Citrix ADC (прежней версии NetScaler).

Примечание.

Функциональные возможности этого соединителя данных зависят от средства синтаксического анализа на основе функции Kusto, который является неотъемлемой частью его работы. Этот средство синтаксического анализа развертывается в рамках установки решения. Чтобы получить доступ к коду функции в Log Analytics, перейдите к разделу Log Analytics/Microsoft Sentinel Logs, выберите "Функции" и найдите псевдоним CitrixADCEvent. Кроме того, можно напрямую загрузить код функции. Обновление может занять около 15 минут.

Для этого средства синтаксического анализа требуется список наблюдения с именем Sources_by_SourceType.

i. Если у вас еще нет списка наблюдения, создайте список наблюдения из Microsoft Sentinel в портал Azure.

ii. Откройте список Sources_by_SourceType наблюдения и добавьте записи для этого источника данных.

ii. Значение SourceType для CitrixADC .CitrixADC Дополнительные сведения см. в разделе "Управление расширенными средствами анализа информационной модели безопасности( ASIM).

Защита от потери данных digital Guardian

Выполните следующие действия, чтобы настроить Digital Guardian для пересылки журналов с помощью системного журнала:

  1. Войдите в консоль управления Digital Guardian.
  2. Выберите "Экспорт> данных рабочей области".>
  3. В списке источников данных выберите "Оповещения " или "События " в качестве источника данных.
  4. В списке типов экспорта выберите Syslog.
  5. В списке типов выберите UDP или TCP в качестве транспортного протокола.
  6. В поле "Сервер" введите IP-адрес удаленного сервера системного журнала.
  7. В поле "Порт" введите 514 (или другой порт, если сервер системного журнала настроен для использования недефесультного порта).
  8. В списке уровней серьезности выберите уровень серьезности.
  9. Установите флажок "Активный".
  10. Выберите Далее.
  11. В списке доступных полей добавьте поля оповещений или событий для экспорта данных.
  12. Выберите критерии для полей экспорта данных и далее.
  13. Выберите группу для условий и далее.
  14. Выберите тестовый запрос.
  15. Выберите Далее.
  16. Сохраните экспорт данных.

Интеграция ESET Protect

Настройте ESET PROTECT для отправки всех событий через Системный журнал.

  1. Следуйте этим инструкциям , чтобы настроить выходные данные системного журнала. Обязательно выберите BSD в качестве формата и TCP в качестве транспорта.
  2. Следуйте этим инструкциям , чтобы экспортировать все журналы в системный журнал. Выберите JSON в качестве формата выходных данных.

Exabeam Advanced Analytics

Следуйте этим инструкциям , чтобы отправить данные журнала действий Advanced Analytics Exabeam через системный журнал.

Этот соединитель данных был разработан с помощью Exabeam Advanced Analytics i54 (Syslog)

Forescout

Выполните следующие действия, чтобы получить журналы Forescout в Microsoft Sentinel.

  1. Выберите устройство для настройки.
  2. Следуйте этим инструкциям , чтобы перенаправить оповещения с платформы Forescout на сервер системного журнала.
  3. Настройте параметры на вкладке "Триггеры системного журнала".

Этот соединитель данных был разработан с помощью подключаемого модуля Syslog Forescout: версии 3.6

Gitlab

Следуйте этим инструкциям , чтобы отправить данные журнала аудита Gitlab с помощью системного журнала.

Привязка ISC

  1. Выполните следующие инструкции, чтобы настроить привязку ISC для пересылки системного журнала: журналы DNS.
  2. Настройте системный журнал для отправки трафика системного журнала агенту. Используйте IP-адрес или имя узла для устройства Linux с агентом Linux, установленным в качестве IP-адреса назначения.

Операционная система сетевых удостоверений Infoblox (NIOS)

Следуйте этим инструкциям , чтобы включить перенаправление системного журнала журналов Infoblox NIOS. Используйте IP-адрес или имя узла для устройства Linux с агентом Linux, установленным в качестве IP-адреса назначения.

Примечание.

Функциональные возможности этого соединителя данных зависят от средства синтаксического анализа на основе функции Kusto, который является неотъемлемой частью его работы. Этот средство синтаксического анализа развертывается в рамках установки решения.

Чтобы получить доступ к коду функции в Log Analytics, перейдите к разделу Log Analytics/Microsoft Sentinel Logs, выберите "Функции" и найдите псевдоним Infoblox. Кроме того, можно напрямую загрузить код функции. Обновление может занять около 15 минут.

Для этого средства синтаксического анализа требуется список наблюдения с именем Sources_by_SourceType.

i. Если у вас еще нет списка наблюдения, создайте список наблюдения из Microsoft Sentinel в портал Azure.

ii. Откройте список Sources_by_SourceType наблюдения и добавьте записи для этого источника данных.

ii. Значение SourceType для InfobloxNIOS InfobloxNIOS.

Дополнительные сведения см. в разделе "Управление расширенными средствами анализа информационной модели безопасности( ASIM).

Иванти Унифицированное управление конечными точками

Следуйте инструкциям по настройке действий генерации оповещений для отправки журналов на сервер системного журнала.

Этот соединитель данных был разработан с помощью версии 2021.1 Для Иванти Unified Endpoint Management версии 2021.1 версии 11.0.3.374

Juniper SRX

  1. Выполните следующие инструкции, чтобы настроить SRX Juniper для пересылки системного журнала:

  2. Используйте IP-адрес или имя узла для устройства Linux с агентом Linux, установленным в качестве IP-адреса назначения.

McAfee Network Security Platform

Выполните следующие действия по настройке, чтобы получить журналы Платформы безопасности сети McAfee® в Microsoft Sentinel.

  1. Переадресация оповещений от руководителя к серверу системного журнала.

  2. Необходимо добавить профиль уведомления системного журнала. При создании профиля, чтобы убедиться, что события отформатированы правильно, введите следующий текст в текстовом поле сообщения:

    <SyslogAlertForwarderNSP>:|SENSOR_ALERT_UUID|ALERT_TYPE|ATTACK_TIME|ATTACK_NAME|ATTACK_ID |ATTACK_SEVERITY|ATTACK_SIGNATURE|ATTACK_CONFIDENCE|ADMIN_DOMAIN|SENSOR_NAME|INTERFACE |SOURCE_IP|SOURCE_PORT|DESTINATION_IP|DESTINATION_PORT|CATEGORY|SUB_CATEGORY |DIRECTION|RESULT_STATUS|DETECTION_MECHANISM|APPLICATION_PROTOCOL|NETWORK_PROTOCOL|

Этот соединитель данных был разработан с помощью Платформы безопасности сети McAfee®: 10.1.x.

McAfee ePolicy Orchestrator

Обратитесь к поставщику, чтобы узнать, как зарегистрировать сервер системного журнала.

Microsoft Sysmon для Linux

Этот соединитель данных зависит от синтаксического анализа ASIM на основе функций Kusto, которые будут работать должным образом. Разверните синтаксический анализ.

Развертываются следующие функции:

  • vimFileEventLinuxSysmonFileCreated, vimFileEventLinuxSysmonFileDeleted
  • vimProcessCreateLinuxSysmon, vimProcessTerminateLinuxSysmon
  • vimNetworkSessionLinuxSysmon

Дополнительные сведения

Nasuni

Следуйте инструкциям в руководстве по консоли управления Nasuni, чтобы настроить устройства Nasuni Edge для пересылки событий системного журнала. Используйте IP-адрес или имя узла устройства Linux под управлением агента Azure Monitor в поле конфигурации серверов для параметров системного журнала.

OpenVPN

Установите агент на сервере, на котором перенаправляются OpenVPN. Журналы сервера OpenVPN записываются в общий файл системного журнала (в зависимости от используемого дистрибутива Linux: например, /var/log/messages).

Oracle Database Audit

Выполните следующие шаги.

  1. Создайте базу данных Oracle, выполнив указанные ниже действия.
  2. Войдите в созданную базу данных Oracle. Выполните следующие действия.
  3. Включите единое ведение журнала по системе, изменив систему, чтобы включить унифицированное ведение журнала, выполнив следующие действия.
  4. Создайте и включите политику аудита для единого аудита, выполните следующие действия.
  5. Включение системного журнала и записи Просмотр событий для единого аудита выполните следующие действия.

Pulse Connect Secure

Следуйте инструкциям , чтобы включить потоковую передачу системного журнала журналов Pulse Connect Secure. Используйте IP-адрес или имя узла для устройства Linux с агентом Linux, установленным в качестве IP-адреса назначения.

Примечание.

Функциональные возможности этого соединителя данных зависят от средства синтаксического анализа на основе функции Kusto, который является неотъемлемой частью его работы. Этот средство синтаксического анализа развертывается в рамках установки решения.

Обновите средство синтаксического анализа и укажите имя узла исходных компьютеров, передаваемых журналы в первой строке синтаксического анализа.

Чтобы получить доступ к коду функции в Log Analytics, перейдите в раздел Log Analytics/Microsoft Sentinel Logs, выберите "Функции" и найдите псевдоним PulseConnectSecure. Кроме того, напрямую загрузите код функции. Обновление может занять около 15 минут.

RSA SecurID

Выполните следующие действия, чтобы получить журналы диспетчера проверки подлинности RSA® SecurID в Microsoft Sentinel. Следуйте этим инструкциям , чтобы перенаправить оповещения с диспетчера на сервер системного журнала.

Примечание.

Функциональные возможности этого соединителя данных зависят от средства синтаксического анализа на основе функции Kusto, который является неотъемлемой частью его работы. Этот средство синтаксического анализа развертывается в рамках установки решения.

Обновите средство синтаксического анализа и укажите имя узла исходных компьютеров, передаваемых журналы в первой строке синтаксического анализа.

Чтобы получить доступ к коду функции в Log Analytics, перейдите к разделу Log Analytics/Microsoft Sentinel Logs, выберите "Функции" и найдите псевдоним RSASecurIDAMEvent. Кроме того, можно напрямую загрузить код функции. Обновление может занять около 15 минут.

Этот соединитель данных был разработан с помощью rsA SecurID Authentication Manager версии: 8.4 и 8.5

Sophos XG Firewall

Следуйте этим инструкциям , чтобы включить потоковую передачу системного журнала. Используйте IP-адрес или имя узла для устройства Linux с агентом Linux, установленным в качестве IP-адреса назначения.

Примечание.

Функциональные возможности этого соединителя данных зависят от средства синтаксического анализа на основе функции Kusto, который является неотъемлемой частью его работы. Этот средство синтаксического анализа развертывается в рамках установки решения.

Обновите средство синтаксического анализа и укажите имя узла исходных компьютеров, передаваемых журналы в первой строке синтаксического анализа. Чтобы получить доступ к коду функции в Log Analytics, перейдите в раздел Log Analytics/Microsoft Sentinel Logs, выберите "Функции" и найдите псевдоним SophosXGFirewall. Кроме того, напрямую загрузите код функции. Обновление может занять около 15 минут.

Symantec Endpoint Protection;

Следуйте этим инструкциям , чтобы настроить Symantec Endpoint Protection для пересылки системного журнала. Используйте IP-адрес или имя узла для устройства Linux с агентом Linux, установленным в качестве IP-адреса назначения.

Примечание.

Функциональные возможности этого соединителя данных зависят от средства синтаксического анализа на основе функции Kusto, который является неотъемлемой частью его работы. Этот средство синтаксического анализа развертывается в рамках установки решения.

Обновите средство синтаксического анализа и укажите имя узла исходных компьютеров, передаваемых журналы в первой строке синтаксического анализа. Чтобы получить доступ к коду функции в Log Analytics, перейдите в раздел Log Analytics/Microsoft Sentinel Logs, выберите "Функции" и найдите псевдоним SymantecEndpointProtection. Кроме того, можно напрямую загрузить код функции. Обновление может занять около 15 минут.

Symantec ProxySG

  1. Войдите в консоль управления Blue Coat.

  2. Выберите форматы ведения журнала>доступа к конфигурации.>

  3. Выберите Создать.

  4. Введите уникальное имя в поле "Имя формата".

  5. Выберите переключатель для строки настраиваемого формата и вставьте следующую строку в поле.

    1 $(date) $(time) $(time-taken) $(c-ip) $(cs-userdn) $(cs-auth-groups) $(x-exception-id) $(sc-filter-result) $(cs-categories) $(quot)$(cs(Referer))$(quot) $(sc-status) $(s-action) $(cs-method) $(quot)$(rs(Content-Type))$(quot) $(cs-uri-scheme) $(cs-host) $(cs-uri-port) $(cs-uri-path) $(cs-uri-query) $(cs-uri-extension) $(quot)$(cs(User-Agent))$(quot) $(s-ip) $(sr-bytes) $(rs-bytes) $(x-virus-id) $(x-bluecoat-application-name) $(x-bluecoat-application-operation) $(cs-uri-port) $(x-cs-client-ip-country) $(cs-threat-risk)

  6. Нажмите ОК.

  7. Нажмите кнопку "Применитьn".

  8. Следуйте этим инструкциям , чтобы включить потоковую передачу системного журнала журналов Access . Используйте IP-адрес или имя узла для устройства Linux с агентом Linux, установленным в качестве IP-адреса назначения.

Примечание.

Функциональные возможности этого соединителя данных зависят от средства синтаксического анализа на основе функции Kusto, который является неотъемлемой частью его работы. Этот средство синтаксического анализа развертывается в рамках установки решения.

Обновите средство синтаксического анализа и укажите имя узла исходных компьютеров, передаваемых журналы в первой строке синтаксического анализа.

Чтобы получить доступ к коду функции в Log Analytics, перейдите в раздел Log Analytics/Microsoft Sentinel Logs, выберите "Функции" и найдите псевдоним SymantecProxySG. Кроме того, напрямую загрузите код функции. Обновление может занять около 15 минут.

Symantec VIP

Следуйте этим инструкциям , чтобы настроить шлюз Symantec VIP Enterprise для пересылки системного журнала. Используйте IP-адрес или имя узла для устройства Linux с агентом Linux, установленным в качестве IP-адреса назначения.

Примечание.

Функциональные возможности этого соединителя данных зависят от средства синтаксического анализа на основе функции Kusto, который является неотъемлемой частью его работы. Этот средство синтаксического анализа развертывается в рамках установки решения.

Обновите средство синтаксического анализа и укажите имя узла исходных компьютеров, передаваемых журналы в первой строке синтаксического анализа.

Чтобы получить доступ к коду функции в Log Analytics, перейдите в раздел Log Analytics/Microsoft Sentinel Logs, выберите "Функции" и найдите псевдоним SymantecVIP. Кроме того, напрямую загрузите код функции. Обновление может занять около 15 минут.

VMware ESXi

  1. Выполните следующие инструкции, чтобы настроить VMware ESXi для пересылки системного журнала:

  2. Используйте IP-адрес или имя узла для устройства Linux с агентом Linux, установленным в качестве IP-адреса назначения.

Примечание.

Функциональные возможности этого соединителя данных зависят от средства синтаксического анализа на основе функции Kusto, который является неотъемлемой частью его работы. Этот средство синтаксического анализа развертывается в рамках установки решения.

Обновите средство синтаксического анализа и укажите имя узла исходных компьютеров, передаваемых журналы в первой строке синтаксического анализа.

Чтобы получить доступ к коду функции в Log Analytics, перейдите к разделу Log Analytics/Microsoft Sentinel Logs, выберите "Функции" и найдите псевдоним VMwareESXi. Кроме того, напрямую загрузите код функции. Обновление может занять около 15 минут.

WatchGuard Firebox

Следуйте этим инструкциям , чтобы отправить данные журнала WatchGuard Firebox через системный журнал.