Syslog über AMA-Datenconnector: Konfigurieren bestimmter Anwendung oder Geräts für Microsoft Sentinel Datenerfassung

Der Syslog über AMA-Datenconnector in Microsoft Sentinel sammelt Protokolle von vielen Sicherheitsappliances und -geräten. In diesem Artikel werden vom Anbieter bereitgestellte Installationsanweisungen für bestimmte Sicherheitsappliances und Geräte aufgeführt, die diesen Datenconnector verwenden. Wenden Sie sich an den Anbieter, um Updates, weitere Informationen oder Informationen zu erhalten, die für Ihre Sicherheits-Anwendung oder Ihr Gerät nicht verfügbar sind.

Um Daten für Microsoft Sentinel an Ihren Log Analytics-Arbeitsbereich weiterzuleiten, führen Sie die Schritte unter Erfassen von Syslog- und CEF-Nachrichten zum Microsoft Sentinel mit dem Azure Monitor-Agent aus. Wenn Sie diese Schritte ausführen, installieren Sie syslog über den AMA-Datenconnector in Microsoft Sentinel. Verwenden Sie dann die Anweisungen des entsprechenden Anbieters in diesem Artikel, um die Einrichtung abzuschließen.

Weitere Informationen zu den zugehörigen Microsoft Sentinel Lösung für die einzelnen Appliances oder Geräte finden Sie im Azure Marketplace nach denProjektmappenvorlagen für Produkttypen>, oder überprüfen Sie die Lösung im Inhaltshub in Microsoft Sentinel.

Barracuda CloudGen Firewall

Befolgen Sie die Anweisungen zum Konfigurieren des Syslog-Streamings. Verwenden Sie die IP-Adresse oder den Hostnamen für den Linux Computer, auf dem der Microsoft Sentinel-Agent für die Ziel-IP-Adresse installiert ist.

Blackberry CylancePROTECT

Befolgen Sie diese Anweisungen , um CylancePROTECT für die Weiterleitung von Syslog zu konfigurieren. Verwenden Sie die IP-Adresse oder den Hostnamen für das Linux Gerät, auf dem der Linux-Agent als Ziel-IP-Adresse installiert ist.

Cisco Application Centric Infrastructure (ACI)

Konfigurieren Sie das Cisco ACI-System so, dass Protokolle über Syslog an den Remoteserver gesendet werden, auf dem Sie den Agent installieren. Führen Sie die folgenden Schritte aus, um das Syslog-Ziel, die Zielgruppe und die Syslog-Quelle zu konfigurieren.

Dieser Datenconnector wurde mit Cisco ACI Release 1.x entwickelt.

Cisco Identity Services Engine (ISE)

Befolgen Sie diese Anweisungen , um Syslog-Remotesammlungsspeicherorte in Ihrer Cisco ISE-Bereitstellung zu konfigurieren.

Cisco Stealthwatch

Führen Sie die folgenden Konfigurationsschritte aus, um Cisco Stealthwatch-Protokolle in Microsoft Sentinel abzurufen.

1. Melden Sie sich bei der Stealthwatch Management Console (SMC) als Administrator an.

2. Wählen Sie in der MenüleisteKonfigurationsantwortverwaltung> aus.

3. Wählen Sie im Menü Antwortverwaltung im Abschnitt Aktionen die Option Syslog-Nachricht hinzufügen >aus.

4. Konfigurieren Sie im Fenster Syslog-Nachrichtenaktion hinzufügen Parameter.

5. Geben Sie das folgende benutzerdefinierte Format ein:

   |Lancope|Stealthwatch|7.3|{alarm_type_id}|0x7C|src={source_ip}|dst={target_ip}|dstPort={port}|proto={protocol}|msg={alarm_type_description}|fullmessage={details}|start={start_active_time}|end={end_active_time}|cat={alarm_category_name}|alarmID={alarm_id}|sourceHG={source_host_group_names}|targetHG={target_host_group_names}|sourceHostSnapshot={source_url}|targetHostSnapshot={target_url}|flowCollectorName={device_name}|flowCollectorIP={device_ip}|domain={domain_name}|exporterName={exporter_hostname}|exporterIPAddress={exporter_ip}|exporterInfo={exporter_label}|targetUser={target_username}|targetHostname={target_hostname}|sourceUser={source_username}|alarmStatus={alarm_status}|alarmSev={alarm_severity_name}

6. Wählen Sie das benutzerdefinierte Format aus der Liste aus, und klicken Sie auf OK.

7. Wählen Sie Antwortverwaltungsregeln > aus.

8. Wählen Sie Hinzufügen und Alarm hosten aus.

9. Geben Sie im Feld Name einen Regelnamen an.

10. Erstellen Sie Regeln, indem Sie Werte aus den Menüs Typ und Optionen auswählen. Um weitere Regeln hinzuzufügen, wählen Sie das Symbol mit den Auslassungspunkten aus. Kombinieren Sie für einen Hostalarm so viele mögliche Typen in einer -Anweisung wie möglich.

Dieser Datenconnector wurde mit Cisco Stealthwatch Version 7.3.2 entwickelt.

Cisco Unified Computing Systems (UCS)

Befolgen Sie diese Anweisungen , um Cisco UCS für die Weiterleitung von Syslog zu konfigurieren. Verwenden Sie die IP-Adresse oder den Hostnamen für das Linux Gerät, auf dem der Linux-Agent als Ziel-IP-Adresse installiert ist.

Cisco Web Security Appliance (WSA)

Konfigurieren Sie Cisco so, dass Protokolle über Syslog an den Remoteserver weitergeleitet werden, auf dem Sie den Agent installieren. Führen Sie die folgenden Schritte aus, um Cisco WSA für die Weiterleitung von Protokollen über Syslog zu konfigurieren.

Wählen Sie Syslog Push als Abrufmethode aus.

Dieser Datenconnector wurde mit AsyncOS 14.0 für Cisco Web Security Appliance entwickelt.

Citrix Application Delivery Controller (ADC)

Konfigurieren Sie Citrix ADC (ehemals NetScaler), um Protokolle über Syslog weiterzuleiten.

1. Navigieren Sie zur Registerkarte > Konfiguration Registerkarte Systemüberwachung >> Syslog-Server > .
2. Geben Sie den Namen der Syslog-Aktion an.
3. Legen Sie die IP-Adresse des Syslog-Remoteservers und -Ports fest.
4. Legen Sie den Transporttyp abhängig von der Konfiguration Ihres Syslog-Remoteservers auf TCP oder UDP fest.

Weitere Informationen finden Sie in der Dokumentation zu Citrix ADC (ehemals NetScaler).

Verhinderung von Datenverlust bei Digital Guardian

Führen Sie die folgenden Schritte aus, um Digital Guardian für die Weiterleitung von Protokollen über Syslog zu konfigurieren:

1. Melden Sie sich bei der Digital Guardian Management Console an.
2. Wählen Sie Arbeitsbereich>datenexport>Export Export erstellen aus.
3. Wählen Sie in der Liste Datenquellendie Option Warnungen oder Ereignisse als Datenquelle aus.
4. Wählen Sie in der Liste Exporttypdie Option Syslog aus.
5. Wählen Sie in der Liste Typdie Option UDP oder TCP als Transportprotokoll aus.
6. Geben Sie im Feld Server die IP-Adresse Ihres Syslog-Remoteservers ein.
7. Geben Sie im Feld Port 514 (oder einen anderen Port ein, wenn Ihr Syslog-Server für die Verwendung eines nicht standardmäßigen Ports konfiguriert wurde).
8. Wählen Sie in der Liste Schweregrad einen Schweregrad aus.
9. Aktivieren Sie das Kontrollkästchen Ist aktiv .
10. Wählen Sie Weiter aus.
11. Fügen Sie aus der Liste der verfügbaren Felder die Felder Warnung oder Ereignis für Ihren Datenexport hinzu.
12. Wählen Sie kriterien für die Felder im Datenexport und Weiter aus.
13. Wählen Sie eine Gruppe für die Kriterien und Weiter aus.
14. Wählen Sie Testabfrage aus.
15. Wählen Sie Weiter aus.
16. Speichern Sie den Datenexport.

ESET Protect-Integration

Konfigurieren Sie ESET PROTECT so, dass alle Ereignisse über Syslog gesendet werden.

1. Befolgen Sie diese Anweisungen , um die Syslog-Ausgabe zu konfigurieren. Stellen Sie sicher, dass Sie BSD als Format und TCP als Transport auswählen.
2. Befolgen Sie diese Anweisungen , um alle Protokolle in Syslog zu exportieren. Wählen Sie JSON als Ausgabeformat aus.

Exabeam-Advanced Analytics

Befolgen Sie diese Anweisungen, um Exabeam Advanced Analytics Aktivitätsprotokolldaten über Syslog zu senden.

Dieser Datenconnector wurde mit Exabeam Advanced Analytics i54 (Syslog) entwickelt.

Forescout

Führen Sie die folgenden Schritte aus, um Forescout-Protokolle in Microsoft Sentinel abzurufen.

1. Wählen Sie eine Appliance aus, die konfiguriert werden soll.
2. Befolgen Sie diese Anweisungen , um Warnungen von der Forescout-Plattform an einen Syslog-Server weiterzuleiten.
3. Konfigurieren Sie die Einstellungen auf der Registerkarte Syslog-Trigger .

Dieser Datenconnector wurde mit der Forescout Syslog-Plug-In-Version v3.6 entwickelt.

Gitlab

Befolgen Sie diese Anweisungen , um Gitlab-Überwachungsprotokolldaten über Syslog zu senden.

ISC-Bindung

1. Befolgen Sie diese Anweisungen, um die ISC-Bindung zum Weiterleiten von Syslog: DNS-Protokollen zu konfigurieren.
2. Konfigurieren Sie Syslog so, dass der Syslog-Datenverkehr an den Agent gesendet wird. Verwenden Sie die IP-Adresse oder den Hostnamen für das Linux Gerät, auf dem der Linux-Agent als Ziel-IP-Adresse installiert ist.

Infoblox Network Identity Operating System (NIOS)

Befolgen Sie diese Anweisungen , um die Syslog-Weiterleitung von Infoblox NIOS-Protokollen zu aktivieren. Verwenden Sie die IP-Adresse oder den Hostnamen für das Linux Gerät, auf dem der Linux-Agent als Ziel-IP-Adresse installiert ist.

Ivanti Unified Endpoint Management

Befolgen Sie die Anweisungen zum Einrichten von Warnungsaktionen zum Senden von Protokollen an den Syslog-Server.

Dieser Datenconnector wurde mit Ivanti Unified Endpoint Management Release 2021.1 Version 11.0.3.374 entwickelt.

Juniper SRX

1. Führen Sie die folgenden Anweisungen aus, um juniper SRX für die Weiterleitung von Syslog zu konfigurieren:

   • Datenverkehrsprotokolle (Sicherheitsrichtlinienprotokolle)
   • Systemprotokolle

2. Verwenden Sie die IP-Adresse oder den Hostnamen für das Linux Gerät, auf dem der Linux-Agent als Ziel-IP-Adresse installiert ist.

McAfee Network Security Platform

Führen Sie die folgenden Konfigurationsschritte aus, um McAfee® Network Security Platform-Anmeldungen in Microsoft Sentinel zu erhalten.

1. Weiterleiten von Warnungen vom Manager an einen Syslog-Server.

2. Sie müssen ein Syslog-Benachrichtigungsprofil hinzufügen. Geben Sie beim Erstellen eines Profils den folgenden Text in das Textfeld Nachricht ein, um sicherzustellen, dass Ereignisse ordnungsgemäß formatiert sind:

   <SyslogAlertForwarderNSP>:|SENSOR_ALERT_UUID|ALERT_TYPE|ATTACK_TIME|ATTACK_NAME|ATTACK_ID |ATTACK_SEVERITY|ATTACK_SIGNATURE|ATTACK_CONFIDENCE|ADMIN_DOMAIN|SENSOR_NAME|INTERFACE |SOURCE_IP|SOURCE_PORT|DESTINATION_IP|DESTINATION_PORT|CATEGORY|SUB_CATEGORY |DIRECTION|RESULT_STATUS|DETECTION_MECHANISM|APPLICATION_PROTOCOL|NETWORK_PROTOCOL|

Dieser Datenconnector wurde mit der McAfee® Network Security Platform-Version 10.1.x entwickelt.

McAfee ePolicy Orchestrator

Wenden Sie sich an den Anbieter, um Anleitungen zum Registrieren eines Syslog-Servers zu erhalten.

Microsoft Sysmon For Linux

Dieser Datenconnector ist von ASIM-Parsern abhängig, die auf einer Kusto-Funktion basieren, um wie erwartet zu funktionieren. Stellen Sie die Parser bereit.

Die folgenden Funktionen werden bereitgestellt:

• vimFileEventLinuxSysmonFileCreated, vimFileEventLinuxSysmonFileDeleted
• vimProcessCreateLinuxSysmon, vimProcessTerminateLinuxSysmon
• vimNetworkSessionLinuxSysmon

Weitere Informationen

Nasuni

Befolgen Sie die Anweisungen im Nasuni Management Console-Handbuch , um Nasuni Edge Appliances für die Weiterleitung von Syslog-Ereignissen zu konfigurieren. Verwenden Sie die IP-Adresse oder den Hostnamen des Linux Geräts, auf dem der Azure Monitor-Agent ausgeführt wird, im Feld Serverkonfiguration für die Syslog-Einstellungen.

Openvpn

Installieren Sie den Agent auf dem Server, auf dem openVPN weitergeleitet wird. OpenVPN-Serverprotokolle werden in eine allgemeine Syslog-Datei geschrieben (je nach verwendeter Linux Verteilung: z. B. /var/log/messages).

Oracle Database Audit

Führen Sie die folgenden Schritte aus.

1. Erstellen der Oracle-Datenbank Führen Sie die folgenden Schritte aus.
2. Melden Sie sich bei der oracle-Datenbank an, die Sie erstellt haben. Führen Sie die folgenden Schritte aus.
3. Aktivieren Sie die einheitliche Protokollierung über Syslog, indem Sie das System ändern, um die einheitliche Protokollierung zu aktivieren. Führen Sie die folgenden Schritte aus.
4. Erstellen und Aktivieren einer Überwachungsrichtlinie für die einheitliche ÜberwachungFühren Sie die folgenden Schritte aus.
5. Aktivieren von Syslog und Ereignisanzeige Captures für den einheitlichen Überwachungspfad Führen Sie die folgenden Schritte aus.

Pulse Connect Secure

Befolgen Sie die Anweisungen zum Aktivieren des Syslog-Streamings von Pulse Connect Secure-Protokollen. Verwenden Sie die IP-Adresse oder den Hostnamen für das Linux Gerät, auf dem der Linux-Agent als Ziel-IP-Adresse installiert ist.

RSA SecurID

Führen Sie die folgenden Schritte aus, um RSA® SecurID Authentication Manager-Protokolle in Microsoft Sentinel zu erhalten. Befolgen Sie diese Anweisungen , um Warnungen vom Manager an einen Syslog-Server weiterzuleiten.

Dieser Datenconnector wurde mit rsa SecurID Authentication Manager-Version 8.4 und 8.5 entwickelt.

Sophos XG Firewall

Befolgen Sie diese Anweisungen , um das Syslog-Streaming zu aktivieren. Verwenden Sie die IP-Adresse oder den Hostnamen für das Linux Gerät, auf dem der Linux-Agent als Ziel-IP-Adresse installiert ist.

Symantec Endpoint Protection

Befolgen Sie diese Anweisungen , um Symantec Endpoint Protection für die Weiterleitung von Syslog zu konfigurieren. Verwenden Sie die IP-Adresse oder den Hostnamen für das Linux Gerät, auf dem der Linux-Agent als Ziel-IP-Adresse installiert ist.

Symantec ProxySG

1. Melden Sie sich bei der Blue Coat Management Console an.

2. Wählen SieKonfigurationszugriffsprotokollierungsformate>>aus.

3. Wählen Sie Neu aus.

4. Geben Sie einen eindeutigen Namen in das Feld Formatname ein.

5. Wählen Sie das Optionsfeld für Benutzerdefinierte Formatzeichenfolge aus, und fügen Sie die folgende Zeichenfolge in das Feld ein.

   1 $(date) $(time) $(time-taken) $(c-ip) $(cs-userdn) $(cs-auth-groups) $(x-exception-id) $(sc-filter-result) $(cs-categories) $(quot)$(cs(Referer))$(quot) $(sc-status) $(s-action) $(cs-method) $(quot)$(rs(Content-Type))$(quot) $(cs-uri-scheme) $(cs-host) $(cs-uri-port) $(cs-uri-path) $(cs-uri-query) $(cs-uri-extension) $(quot)$(cs(User-Agent))$(quot) $(s-ip) $(sr-bytes) $(rs-bytes) $(x-virus-id) $(x-bluecoat-application-name) $(x-bluecoat-application-operation) $(cs-uri-port) $(x-cs-client-ip-country) $(cs-threat-risk)

6. Wählen Sie OK aus.

7. Wählen Sie Übernehmenn aus.

8. Befolgen Sie diese Anweisungen , um das Syslog-Streaming von Access-Protokollen zu aktivieren. Verwenden Sie die IP-Adresse oder den Hostnamen für das Linux Gerät, auf dem der Linux-Agent als Ziel-IP-Adresse installiert ist.

Symantec VIP

Befolgen Sie diese Anweisungen , um Symantec VIP Enterprise Gateway für die Weiterleitung von Syslog zu konfigurieren. Verwenden Sie die IP-Adresse oder den Hostnamen für das Linux Gerät, auf dem der Linux-Agent als Ziel-IP-Adresse installiert ist.

VMware ESXi

1. Befolgen Sie diese Anweisungen, um VMware ESXi für die Weiterleitung von Syslog zu konfigurieren:

   • VMware ESXi 5.0 und höher

2. Verwenden Sie die IP-Adresse oder den Hostnamen für das Linux Gerät, auf dem der Linux-Agent als Ziel-IP-Adresse installiert ist.

WatchGuard Firebox

Befolgen Sie diese Anweisungen , um WatchGuard Firebox-Protokolldaten über Syslog zu senden.

Verwandte Inhalte

• Erfassen von Syslog- und CEF-Nachrichten zum Microsoft Sentinel mit dem Azure Monitor-Agent
• Syslog über AMA und CEF (Common Event Format) über AMA-Connectors für Microsoft Sentinel