CEF via AMA-dataconnector – Konfigurer en bestemt apparat eller enhed til Microsoft Sentinel dataindtagelse

Logindsamling fra mange sikkerhedsapparater og -enheder understøttes af CEF (Common Event Format) via AMA-dataconnectoren i Microsoft Sentinel. Denne artikel indeholder en liste over installationsvejledninger fra udbyderen for bestemte sikkerhedsapparater og enheder, der bruger denne dataconnector. Kontakt udbyderen for at få opdateringer, flere oplysninger, eller hvis oplysninger ikke er tilgængelige for dit sikkerhedsapparat eller din enhed.

Hvis du vil overføre data til dit Log Analytics-arbejdsområde til Microsoft Sentinel, skal du fuldføre trinnene i indfødnings syslog og CEF-meddelelser for at Microsoft Sentinel med Azure Monitor Agent. Disse trin omfatter installation af CEF (Common Event Format) via AMA-dataconnectoren i Microsoft Sentinel. Når connectoren er installeret, skal du bruge de instruktioner, der er relevante for din enhed, som vist senere i denne artikel, for at fuldføre installationen.

Du kan finde flere oplysninger om den relaterede Microsoft Sentinel-løsning for hver af disse apparater eller enheder ved at søge på Azure Marketplace efterskabeloner til produkttypeløsning> eller gennemse løsningen fra indholdshubben i Microsoft Sentinel.

Vigtigt!

Efter den 31. marts 2027 understøttes Microsoft Sentinel ikke længere i Azure Portal og er kun tilgængelig på Microsoft Defender-portalen. Alle kunder, der bruger Microsoft Sentinel i Azure Portal, omdirigeres til Defender-portalen og bruger kun Microsoft Sentinel på Defender-portalen.

Hvis du stadig bruger Microsoft Sentinel i Azure Portal, anbefaler vi, at du begynder at planlægge overgangen til Defender-portalen for at sikre en problemfri overgang og drage fuld fordel af den samlede oplevelse med sikkerhedshandlinger, der tilbydes af Microsoft Defender.

AI-analytiker Darktrace

Konfigurer Darktrace for at videresende syslog-meddelelser i CEF-format til dit Azure arbejdsområde via syslog agenten.

  1. I Darktrace Threat Visualizer skal du navigere til siden System Config i hovedmenuen under Administration.
  2. Vælg Moduler i menuen til venstre, og vælg Microsoft Sentinel i de tilgængelige arbejdsprocesintegrationer.
  3. Find Microsoft Sentinel systemlog-CEF, og vælg Ny for at få vist konfigurationsindstillingerne, medmindre de allerede vises.
  4. Angiv placeringen af videresenderen til logfilen i feltet Serverkonfiguration , og rediger eventuelt kommunikationsporten. Sørg for, at den valgte port er indstillet til 514 og er tilladt af alle mellemliggende firewalls.
  5. Konfigurer eventuelle beskedtærskler, tidsforskydninger eller andre indstillinger efter behov.
  6. Gennemse alle andre konfigurationsindstillinger, du vil aktivere, som ændrer syslog-syntaksen.
  7. Aktivér Send beskeder, og gem dine ændringer.

Akamai-sikkerhedshændelser

Følg disse trin for at konfigurere Akamai CEF-connectoren til at sende syslog-meddelelser i CEF-format til proxycomputeren. Sørg for at sende loggene til port 514 TCP på computerens IP-adresse.

AristaAwakeSecurity

Fuldfør følgende trin for at videresende Awake Adversarial Model match resultater til en CEF-samler, der lytter på TCP-port 514 på IP 192.168.0.1:

  1. Gå til siden Detection Management Skills i brugergrænsefladen Awake.
  2. Vælg + Tilføj nye færdigheder.
  3. Angiv udtryk til integrations.cef.tcp { destination: "192.168.0.1", port: 514, secure: false, severity: Warning }
  4. Angiv Titel til et beskrivende navn, f.eks. Match resultat af Fremvåg vågen annoncemodel med Microsoft Sentinel.
  5. Angiv Reference-id til noget, der nemt kan registreres, f.eks. integrations.cef.sentinel-forwarder.
  6. Vælg Gem.

Inden for få minutter efter at definitionen og andre felter er blevet gemt, sender systemet nye modelmatchresultater til indsamlingen af CEF-hændelser, efterhånden som de registreres.

Du kan finde flere oplysninger på siden Tilføjelse af sikkerhedsoplysninger og pushintegration for hændelsesstyring i hjælpdokumentationen i brugergrænsefladen Awake.

Aruba ClearPass

Konfigurer Aruba ClearPass til at videresende syslog-meddelelser i CEF-format til dit Microsoft Sentinel arbejdsområde via syslog Agent.

  1. Følg disse instruktioner for at konfigurere Aruba ClearPass for at videresende syslog.
  2. Brug IP-adressen eller værtsnavnet på den Linux enhed, hvor den Linux agent er installeret som destinationens IP-adresse.

Barracuda WAF

Barracuda Web Application Firewall kan integreres med og eksportere logge direkte til Microsoft Sentinel via AMA (Azure Monitoring Agent).

  1. Gå til Barracuda WAF-konfigurationen, og følg vejledningen ved hjælp af følgende parametre for at konfigurere forbindelsen.

  2. Facilitet til webfirewalllogge: Gå til de avancerede indstillinger for dit arbejdsområde og under fanerne Data>Syslog . Kontrollér, at faciliteten findes.

Bemærk, at dataene fra alle områder er gemt i det valgte arbejdsområde.

Broadcom SymantecDLP

Konfigurer Symantec DLP til at videresende syslog-meddelelser i CEF-format til dit Microsoft Sentinel arbejdsområde via syslog agenten.

  1. Følg disse instruktioner for at konfigurere Symantec DLP til at videresende syslog
  2. Brug IP-adressen eller værtsnavnet på den Linux enhed, hvor den Linux agent er installeret som destinationens IP-adresse.

Cisco Firepower EStreamer

Installér og konfigurer Firepower eNcore eStreamer-klienten. Du kan få flere oplysninger i hele installationsvejledningen.

CiscoSEG

Fuldfør følgende trin for at konfigurere Cisco Secure Email Gateway til at videresende logge via syslog:

  1. Konfigurer logabonnement.
  2. Vælg Konsoliderede hændelseslogge i feltet Logtype.

Citrix Web App Firewall

Konfigurer Citrix WAF til at sende syslog-meddelelser i CEF-format til proxycomputeren.

  • Find vejledninger til konfiguration af WAF- og CEF-logge fra Citrix Support.

  • Følg denne vejledning for at videresende loggene til proxy. Sørg for at sende loggene til port 514 TCP på computerens IP-adresse på Linux.

Claroty

Konfigurer videresendelse af logfil ved hjælp af CEF.

  1. Gå til afsnittet Syslog i menuen Konfiguration.
  2. Vælg +Tilføj.
  3. I dialogboksen Tilføj ny syslog skal du angive Fjernserver-IP, Port, Protokol.
  4. Vælg CEF for meddelelsesformat - .
  5. Vælg Gem for at afslutte dialogboksen Tilføj Syslog.

Beskyt kontrast

Konfigurer Contrast Protect-agenten for at videresende hændelser til syslog som beskrevet her: https://docs.contrastsecurity.com/en/output-to-syslog.html. Generér nogle angrebshændelser for dit program.

CrowdStrike Falcon

Udrul CrowdStrike Falcon SIEM Collector for at videresende syslogmeddelelser i CEF-format til dit Microsoft Sentinel arbejdsområde via syslogagenten.

  1. Følg disse instruktioner for at installere SIEM Collector og videresende syslog.
  2. Brug IP-adressen eller værtsnavnet på den Linux enhed, hvor den Linux agent er installeret som destinationens IP-adresse.

EPV-hændelser (CyberArk Enterprise Password Vault)

På EPV'en skal du konfigurere dbparm.ini til at sende syslog-meddelelser i CEF-format til proxycomputeren. Sørg for at sende loggene til port 514 TCP på maskinernes IP-adresse.

Delinea Secret Server

Angiv sikkerhedsløsningen for at sende syslog-meddelelser i CEF-format til proxycomputeren. Sørg for at sende loggene til port 514 TCP på computerens IP-adresse.

ExtraHop Reveal(x)

Angiv sikkerhedsløsningen for at sende syslog-meddelelser i CEF-format til proxycomputeren. Sørg for at sende loggene til port 514 TCP på computerens IP-adresse.

  1. Følg vejledningen for at installere EXTRAHop Detection SIEM Connector-pakken på dit Reveal(x)-system. SIEM-connectoren er påkrævet til denne integration.
  2. Aktivér udløseren for ExtraHop Detection SIEM Connector – CEF.
  3. Opdater udløseren med de ODS-syslog-mål, du har oprettet. 

Reveal(x) system formaterer syslog-meddelelser i CEF (Common Event Format) og sender derefter data til Microsoft Sentinel.

F5-netværk

Konfigurer F5 for at videresende syslog-meddelelser i CEF-format til dit Microsoft Sentinel arbejdsområde via syslog agenten.

Gå til F5 Konfiguration af logføring af programsikkerhedshændelser. Følg vejledningen for at konfigurere fjernlogføring ved hjælp af følgende retningslinjer:

  1. Angiv fjernlagertypen til CEF.
  2. Angiv protokolindstillingen til UDP.
  3. Angiv IP-adressen til syslog-serverens IP-adresse.
  4. Angiv portnummeret til 514, eller den port, som agenten bruger.
  5. Angiv faciliteten til den, du konfigurerede i syslog agenten. Som standard angiver agenten denne værdi til local4.
  6. Du kan angive den maksimale størrelse på forespørgselsstrengen , så den er den samme som den, du har konfigureret.

FireEye Network Security

Udfør følgende trin for at sende data ved hjælp af CEF:

  1. Log på FireEye-enheden med en administratorkonto.

  2. Vælg Indstillinger.

  3. Vælg Meddelelser. Vælg rsyslog.

  4. Markér afkrydsningsfeltet Hændelsestype .

  5. Sørg for, at indstillingerne for Rsyslog er:

    • Standardformat: CEF
    • Standardlevering: Pr. hændelse
    • Send som standard som: Besked

Forcepoint CASB

Angiv sikkerhedsløsningen for at sende syslog-meddelelser i CEF-format til proxycomputeren. Sørg for at sende loggene til port 514 TCP på computerens IP-adresse.

Forcepoint CSG

Integrationen er tilgængelig med to implementeringsmuligheder:

  1. Bruger dockerafbildninger, hvor integrationskomponenten allerede er installeret med alle nødvendige afhængigheder. Følg vejledningen i integrationsvejledningen.
  2. Kræver manuel installation af integrationskomponenten på en ren Linux computer. Følg vejledningen i integrationsvejledningen.

Forcepoint NGFW

Angiv sikkerhedsløsningen for at sende syslog-meddelelser i CEF-format til proxycomputeren. Sørg for at sende loggene til port 514 TCP på computerens IP-adresse.

ForgeRock Common Audit for CEF

I ForgeRock skal du installere og konfigurere denne Common Audit (CAUD) for Microsoft Sentinel i henhold til dokumentationen på https://github.com/javaservlets/SentinelAuditEventHandler. Derefter skal du i Azure følge trinnene for at konfigurere CEF via AMA-dataconnectoren.

Fortinet

Indstil din Fortinet til at sende Syslog-meddelelser i CEF-format til proxycomputeren. Sørg for at sende loggene til port 514 TCP på computerens IP-adresse.

Kopiér CLI-kommandoerne nedenfor, og:

  • Erstat "server-IP-adresse<>" med Syslog-agentens IP-adresse.
  • Angiv "<facility_name>" for at bruge den facilitet, du har konfigureret i Syslog-agenten (som standard angiver agenten dette til local4).
  • Angiv Syslog-porten til 514, som er den port, som din agent bruger.
  • Hvis du vil aktivere CEF-format i tidlige FortiOS-versioner, skal du muligvis køre kommandoen "angiv csv-deaktivering".
    Du kan få flere oplysninger ved at gå til Fortinet-dokumentbiblioteket, vælge din version og bruge PDF-filerne "Håndbog" og "Logmeddelelsesreference".

Lær mere >

Konfigurer forbindelsen ved hjælp af kommandolinjegrænsefladen for at køre følgende kommandoer: config log syslogd setting/n set status enable/nset format cef/nset port 514/nset server <ip_address_of_Receiver>/nend

iboss

Angiv din Threat Console for at sende syslogmeddelelser i CEF-format til dit Azure arbejdsområde. Notér dit arbejdsområde-id og din primære nøgle i dit Log Analytics-arbejdsområde. Vælg arbejdsområdet i menuen Log Analytics-arbejdsområder i Azure Portal. Vælg derefter Administration af agenter i afsnittet Indstillinger .

  1. Gå til Rapportering & Analytics i din iboss-konsol.
  2. Vælg Log forwarding Forward fromReporter( Log Forwarding >Forward from Reporter).
  3. Vælg Handlinger Tilføj>tjeneste.
  4. Skift til Microsoft Sentinel som tjenestetype, og angiv dit arbejdsområde-id/din primære nøgle sammen med andre kriterier. Hvis en dedikeret proxy-Linux computer er konfigureret, skal du skifte til Syslog som tjenestetype og konfigurere indstillingerne, så de peger på din dedikerede proxy Linux computer.
  5. Vent et til to minutter, indtil installationen er fuldført.
  6. Vælg din Microsoft Sentinel-tjeneste, og kontrollér, at Microsoft Sentinel konfigurationsstatus er fuldført. Hvis der er konfigureret en dedikeret proxy Linux computer, kan du validere forbindelsen.

Illumio Core

Konfigurer hændelsesformat.

  1. I PCE-webkonsolmenuen skal du vælge Indstillinger > Hændelsesindstillinger for at få vist dine aktuelle indstillinger.
  2. Vælg Rediger for at ændre indstillingerne.
  3. Angiv Hændelsesformat til CEF.
  4. (Valgfrit) Konfigurer hændelses alvorsgrad og opbevaringsperiode.

Konfigurer videresendelse af hændelse til en ekstern syslog-server.

  1. Vælg Indstillinger Hændelsesindstillinger> i PCE-webkonsolmenuen.
  2. Vælg Tilføj.
  3. Vælg Tilføj lager.
  4. Fuldfør dialogboksen Tilføj lager .
  5. Vælg OK for at gemme konfigurationen af videresendelse af hændelsen.

Illusive Platform

  1. Angiv sikkerhedsløsningen for at sende syslog-meddelelser i CEF-format til proxycomputeren. Sørg for at sende loggene til port 514 TCP på computerens IP-adresse.

  2. Log på den illusive konsol, og naviger til Indstillingsrapportering>.

  3. Find Syslog-servere.

  4. Angiv følgende oplysninger:

    • Værtsnavn: Linux Syslog Agent IP-adresse eller FQDN-værtsnavn
    • Port: 514
    • Protokol: TCP
    • Overvågningsmeddelelser: Send overvågningsmeddelelser til serveren

  5. Hvis du vil tilføje syslog-serveren, skal du vælge Tilføj.

Du kan finde flere oplysninger om, hvordan du tilføjer en ny syslog-server på den illusive platform, i vejledningen til Illusive Networks Administration her:https://support.illusivenetworks.com/hc/en-us/sections/360002292119-Documentation-by-Version

Imperva WAF Gateway

Denne connector kræver, at der oprettes en handlingsgrænseflade og handlingssæt på Imperva SecureSphere MX. Følg trinnene for at oprette kravene.

  1. Opret en ny handlingsgrænseflade, der indeholder de parametre, der kræves for at sende WAF-beskeder til Microsoft Sentinel.
  2. Opret et nyt handlingssæt , der bruger den konfigurerede handlingsgrænseflade .
  3. Anvend handlingssættet på alle de sikkerhedspolitikker, du vil have beskeder om sendt til Microsoft Sentinel.

Infoblox Cloud Data Connector

Udfør følgende trin for at konfigurere Infoblox CDC til at sende BloxOne-data til Microsoft Sentinel via Linux syslog Agent.

  1. Gå til Administrer>dataconnector.
  2. Vælg fanen Destinationskonfiguration øverst.
  3. Vælg Opret > syslog.
    • Navn: Giv den nye destination et sigende navn, f.eks. Microsoft-Sentinel-Destination.
    • Beskrivelse: Du kan eventuelt give den en meningsfuld beskrivelse.
    • Tilstand: Angiv tilstanden til Aktiveret.
    • Format: Angiv formatet til CEF.
    • FQDN/IP: Angiv IP-adressen på den Linux enhed, som den Linux agent er installeret på.
    • Port: Lad portnummeret være 514.
    • Protokol: Vælg det ønskede protokol- og nøglecentercertifikat, hvis det er relevant.
    • Vælg Gem & Luk.
  4. Vælg fanen Konfiguration af trafikflow øverst.
  5. Vælg Opret.
    • Navn: Giv det nye Trafikflow et sigende navn, f.eks. Microsoft-Sentinel-Flow.
    • Beskrivelse: Du kan eventuelt give den en meningsfuld beskrivelse.
    • Tilstand: Angiv tilstanden til Aktiveret.
    • Udvid afsnittet Tjenesteforekomst .
      • Tjenesteforekomst: Vælg den ønskede tjenesteforekomst, som dataconnectortjenesten er aktiveret for.
    • Udvid afsnittet Kildekonfiguration .
      • Kilde: Vælg BloxOne Cloud Source.
      • Vælg alle de ønskede logtyper , du vil indsamle. De logfiltyper, der understøttes i øjeblikket, er:
        • Forespørgsel/svarlog for trusselsforsvar
        • Logfil over forekomster af Trusselsforsvarstrusler
        • DDI-forespørgsels-/svarlog
        • DDI DHCP Lease Log
    • Udvid afsnittet Konfiguration af destination .
      • Vælg den destination, du har oprettet.
    • Vælg Gem & Luk.
  6. Giv konfigurationen tid til at aktivere.

Infoblox SOC Insights

Udfør følgende trin for at konfigurere Infoblox CDC til at sende BloxOne-data til Microsoft Sentinel via Linux syslog Agent.

  1. Gå til Administrer > dataconnector.
  2. Vælg fanen Destinationskonfiguration øverst.
  3. Vælg Opret > syslog.
    • Navn: Giv den nye destination et sigende navn, f.eks. Microsoft-Sentinel-Destination.
    • Beskrivelse: Du kan eventuelt give den en meningsfuld beskrivelse.
    • Tilstand: Angiv tilstanden til Aktiveret.
    • Format: Angiv formatet til CEF.
    • FQDN/IP: Angiv IP-adressen på den Linux enhed, som den Linux agent er installeret på.
    • Port: Lad portnummeret være 514.
    • Protokol: Vælg det ønskede protokol- og nøglecentercertifikat, hvis det er relevant.
    • Vælg Gem & Luk.
  4. Vælg fanen Konfiguration af trafikflow øverst.
  5. Vælg Opret.
    • Navn: Giv det nye Trafikflow et sigende navn, f.eks. Microsoft-Sentinel-Flow.
    • Beskrivelse: Du kan eventuelt give den en meningsfuld beskrivelse.
    • Tilstand: Angiv tilstanden til Aktiveret.
    • Udvid afsnittet Tjenesteforekomst .
      • Tjenesteforekomst: Vælg den ønskede tjenesteforekomst, som dataconnectortjenesten er aktiveret for.
    • Udvid afsnittet Kildekonfiguration .
      • Kilde: Vælg BloxOne Cloud Source.
      • Vælg logtypen Interne meddelelser .
    • Udvid afsnittet Konfiguration af destination .
      • Vælg den destination, du har oprettet.
    • Vælg Gem & Luk.
  6. Giv konfigurationen tid til at aktivere.

KasperskySecurityCenter

Følg vejledningen for at konfigurere hændelseseksport fra Kaspersky Security Center.

Morphisec

Angiv sikkerhedsløsningen for at sende syslog-meddelelser i CEF-format til proxycomputeren. Sørg for at sende loggene til port 514 TCP på computerens IP-adresse.

Netwrix Auditor

Følg vejledningen for at konfigurere hændelseseksport fra Netwrix Auditor.

NozomiNetworks

Fuldfør følgende trin for at konfigurere Enheden Nozomi Networks til at sende beskeder, overvågnings- og tilstandslogge via syslog i CEF-format:

  1. Log på Guardian-konsollen.
  2. Gå til Integration af administrationsdata>.
  3. Vælg +Tilføj.
  4. Vælg CEF (Common Event Format) på rullelisten.
  5. Opret et nyt slutpunkt ved hjælp af de relevante værtsoplysninger.
  6. Aktivér beskeder, overvågningslogge og tilstandslogge til afsendelse.

Onapsisplatform

Se Onapsis hjælp til produktet for at konfigurere videresendelse af logfiler til syslog agenten.

  1. Gå til Konfiguration>af tredjepartsintegrationer>Forsvar alarmer, og følg vejledningen for Microsoft Sentinel.

  2. Sørg for, at onapsiskonsollen kan få forbindelse til den proxycomputer, hvor agenten er installeret. Loggene skal sendes til port 514 ved hjælp af TCP.

OSSEC

Følg disse trin for at konfigurere OSSEC-afsendelse af beskeder via syslog.

Palo Alto – XDR (Cortex)

Konfigurer Palo Alto XDR (Cortex) til at videresende meddelelser i CEF-format til dit Microsoft Sentinel arbejdsområde via syslog agenten.

  1. Gå til Cortex-indstillinger og -konfigurationer.
  2. Vælg at tilføje ny server under Eksterne programmer.
  3. Angiv derefter navnet, og angiv den offentlige IP-adresse for syslog-serveren i Destination.
  4. Angiv portnummeret som 514.
  5. Vælg FAC_SYSLOG på rullelisten i feltet Facilitet.
  6. Vælg Protokol som UDP.
  7. Vælg Opret.

PaloAlto-PAN-OS

Konfigurer Palo Alto-netværk for at videresende syslog-meddelelser i CEF-format til dit Microsoft Sentinel arbejdsområde via syslog agenten.

  1. Gå til konfigurer Palo Alto Networks NGFW til afsendelse af CEF-hændelser.

  2. Gå til Palo Alto CEF Configuration og Palo Alto Configure Syslog Monitoring steps 2, 3, vælg din version, og følg vejledningen ved hjælp af følgende retningslinjer:

    1. Angiv Syslog-serverformatet til BSD.
    2. Kopiér teksten til en editor, og fjern eventuelle tegn, der kan ødelægge logformatet, før du indsætter den. Kopierings-/indsættelseshandlinger fra PDF-filen kan ændre teksten og indsætte tilfældige tegn.

Få mere at vide

PaloAltoCDL

Følg instruktionerne for at konfigurere logge, der videresendes fra Cortex Data Lake til en syslog Server.

PingFederate

Følg disse trin for at konfigurere PingFederate, der sender overvågningslog via syslog i CEF-format.

RidgeSecurity

Konfigurer RidgeBot for at videresende hændelser til syslog-serveren som beskrevet her. Generér nogle angrebshændelser for dit program.

SonicWall Firewall

Indstil SonicWall Firewall for at sende syslog-meddelelser i CEF-format til proxycomputeren. Sørg for at sende loggene til port 514 TCP på computerens IP-adresse.

Følg vejledningen. Sørg derefter for at vælge lokal brug 4 som facilitet. Vælg derefter ArcSight som syslogformat.

Trend Micro Apex One

Følg disse trin for at konfigurere, at Apex Central sender beskeder via syslog. Under konfigurationen skal du vælge CEF i logformat på trin 6.

Trend Micro Deep Security

Angiv sikkerhedsløsningen for at sende syslog-meddelelser i CEF-format til proxycomputeren. Sørg for at sende loggene til port 514 TCP på computerens IP-adresse.

  1. Videresend Trend Micro Deep Security-hændelser til systemlogagenten.
  2. Definer en ny systemlogkonfiguration, der bruger CEF-formatet, ved at referere til denne videnartikel for at få flere oplysninger.
  3. Konfigurer Deep Security Manager for at bruge denne nye konfiguration til at videresende hændelser til syslog Agent ved hjælp af disse instruktioner.
  4. Sørg for at gemme funktionen TrendMicroDeepSecurity , så den forespørger dataene for Trend Micro Deep Security korrekt.

Trend Micro TippingPoint

Indstil TippingPoint SMS for at sende syslog-meddelelser i ArcSight CEF Format v4.2-format til proxycomputeren. Sørg for at sende loggene til port 514 TCP på computerens IP-adresse.

vArmour Application Controller

Send syslog-meddelelser i CEF-format til proxycomputeren. Sørg for at sende loggene til port 514 TCP på computerens IP-adresse.

Vectra AI-registrering

Konfigurer Vectra-agenten (X-serien) til at videresende syslogmeddelelser i CEF-format til dit Microsoft Sentinel arbejdsområde via syslog agenten.

Gå til Indstillinger > Meddelelser og Rediger konfiguration af systemlog fra Vectra-brugergrænsefladen. Følg nedenstående instruktioner for at konfigurere forbindelsen:

  1. Tilføj en ny destination (som er værten, hvor den Microsoft Sentinel syslog-agent kører).
  2. Angiv porten som 514.
  3. Angiv protokollen som UDP.
  4. Angiv formatet til CEF.
  5. Angiv logtyper. Vælg alle tilgængelige logtyper.
  6. Vælg Gem.
  7. Vælg knappen Test for at sende nogle testhændelser.

Du kan finde flere oplysninger i Cognito Detect Syslog Guide, som kan downloades fra ressourcesiden i Registrer brugergrænseflade.

Votiro

Angiv Votiro-slutpunkter for at sende syslog-meddelelser i CEF-format til videresendelsescomputeren. Sørg for at sende loggene til port 514 TCP på videresendelsesmaskinens IP-adresse.

WireX Network Forensics Platform

Kontakt WireX-support (https://wirexsystems.com/contact-us/) for at konfigurere din NFP-løsning til at sende syslog-meddelelser i CEF-format til proxycomputeren. Sørg for, at centralstyringen kan sende loggene til port 514 TCP på computerens IP-adresse.

WithSecure-elementer via connector

Forbind din WithSecure Elements Connector-apparat til Microsoft Sentinel. Med WithSecure Elements Connector-dataconnectoren kan du nemt forbinde dine WithSecure Elements-logge med Microsoft Sentinel, få vist dashboards, oprette brugerdefinerede beskeder og forbedre undersøgelsen.

Bemærk!

Data gemmes på den geografiske placering af det arbejdsområde, hvor du kører Microsoft Sentinel.

Konfigurer med Secure Elements Connector for at videresende syslog-meddelelser i CEF-format til dit Log Analytics-arbejdsområde via syslog agenten.

  1. Vælg eller opret en Linux computer, som Microsoft Sentinel skal bruge som proxy mellem din WithSecurity-løsning og Microsoft Sentinel. Computeren kan være et lokalt miljø, Microsoft Azure eller et andet cloudbaseret miljø. Linux skal have syslog-ng og python/python3 installeret.
  2. Installér AMA (Azure Monitoring Agent) på din Linux computer, og konfigurer computeren til at lytte på den nødvendige port og videresende meddelelser til dit Microsoft Sentinel arbejdsområde. CEF-samleren indsamler CEF-meddelelser på port 514 TCP. Du skal have administratorrettigheder (sudo) på computeren.
  3. Gå til EPP i WithSecure Elements Portal. Gå derefter til Downloads. I afsnittet Elements Connector skal du vælge Opret abonnementsnøgle. Du kan kontrollere din abonnementsnøgle i Abonnementer.
  4. I afsnittet Downloads i WithSecure Elements Connector skal du vælge det korrekte installationsprogram og downloade det.
  5. Når du er i EPP, skal du åbne kontoindstillinger fra øverste højre hjørne. Vælg derefter Hent API-nøgle til administration. Hvis nøglen blev oprettet tidligere, kan den også læses der.
  6. Hvis du vil installere Elements Connector, skal du følge Elements Connector Docs.
  7. Hvis API-adgang ikke konfigureres under installationen, skal du følge Konfiguration af API-adgang til Elements Connector.
  8. Gå til EPP, derefter Profiler, og brug derefter For Connector , hvorfra du kan se connectorprofilerne. Opret en ny profil (eller rediger en eksisterende ikke-skrivebeskyttet profil). Aktivér den i viderestilling af hændelse. Angiv SIEM-systemadresse: 127.0.0.1:514. Angiv format til Almindeligt hændelsesformat. Protokollen er TCP. Gem profil, og tildel den til Elements Connector under fanen Enheder .
  9. Hvis du vil bruge det relevante skema i Log Analytics til WithSecure Elements Connector, skal du søge efter CommonSecurityLog.
  10. Fortsæt med at validere CEF-forbindelsen.

Zscaler

Angiv Zscaler-produktet for at sende syslog-meddelelser i CEF-format til din syslog agent. Sørg for at sende loggene på port 514 TCP.

Du kan få flere oplysninger i Zscaler Microsoft Sentinel integrationsvejledning.

Relateret indhold

  • Last updated on