CEF tramite il connettore dati AMA - Configurare un'appliance o un dispositivo specifico per l'inserimento di dati Microsoft Sentinel

La raccolta dei log da molte appliance e dispositivi di sicurezza è supportata da Common Event Format (CEF) tramite il connettore dati AMA in Microsoft Sentinel. Questo articolo elenca le istruzioni di installazione fornite dal provider per dispositivi e dispositivi di sicurezza specifici che usano questo connettore dati. Contattare il provider per gli aggiornamenti, altre informazioni o se le informazioni non sono disponibili per l'appliance o il dispositivo di sicurezza.

Per inserire i dati nell'area di lavoro Log Analytics per Microsoft Sentinel, completare la procedura descritta in Inserire messaggi syslog e CEF per Microsoft Sentinel con l'agente di monitoraggio Azure. Questi passaggi includono l'installazione di Common Event Format (CEF) tramite il connettore dati AMA in Microsoft Sentinel. Dopo aver installato il connettore, usare le istruzioni appropriate per il dispositivo, illustrate più avanti in questo articolo, per completare la configurazione.

Per altre informazioni sulla soluzione di Microsoft Sentinel correlata per ognuna di queste appliance o dispositivi, cercare imodelli di soluzione del tipo di> prodotto in Azure Marketplace oppure esaminare la soluzione dall'hub contenuto in Microsoft Sentinel.

Importante

Dopo il 31 marzo 2027, Microsoft Sentinel non sarà più supportato nel portale di Azure e sarà disponibile solo nel portale di Microsoft Defender. Tutti i clienti che usano Microsoft Sentinel nel portale di Azure verranno reindirizzati al portale di Defender e useranno Microsoft Sentinel solo nel portale di Defender.

Se si usa ancora Microsoft Sentinel nel portale di Azure, è consigliabile iniziare a pianificare la transizione al portale di Defender per garantire una transizione senza problemi e sfruttare appieno l'esperienza di operazioni di sicurezza unificata offerta da Microsoft Defender.

Darktrace dell'analista dell'intelligenza artificiale

Configurare Darktrace per inoltrare i messaggi syslog in formato CEF all'area di lavoro Azure tramite l'agente syslog.

  1. All'interno del visualizzatore di minacce Darktrace passare alla pagina Configurazione di sistema nel menu principale in Amministrazione.
  2. Nel menu a sinistra selezionare Moduli e scegliere Microsoft Sentinel dalle integrazioni del flusso di lavoro disponibili.
  3. Individuare Microsoft Sentinel syslog CEF e selezionare Nuovo per visualizzare le impostazioni di configurazione, a meno che non siano già esposte.
  4. Nel campo Configurazione server immettere il percorso del server d'inoltro del log e, facoltativamente, modificare la porta di comunicazione. Assicurarsi che la porta selezionata sia impostata su 514 e che sia consentita da eventuali firewall intermedi.
  5. Configurare eventuali soglie di avviso, offset di tempo o altre impostazioni in base alle esigenze.
  6. Esaminare tutte le altre opzioni di configurazione che si desidera abilitare per modificare la sintassi di syslog.
  7. Abilitare Invia avvisi e salvare le modifiche.

Eventi di sicurezza di Akamai

Seguire questa procedura per configurare il connettore CEF di Akamai per inviare messaggi syslog in formato CEF al computer proxy. Assicurarsi di inviare i log alla porta 514 TCP nell'indirizzo IP del computer.

AristaAwakeSecurity

Completare i passaggi seguenti per inoltrare i risultati della corrispondenza del modello antagonista sveglio a un agente di raccolta CEF in ascolto sulla porta TCP 514 all'indirizzo IP 192.168.0.1:

  1. Passare alla pagina Competenze di gestione del rilevamento nell'interfaccia utente di Awake.
  2. Selezionare + Aggiungi nuova competenza.
  3. Impostare Expression su integrations.cef.tcp { destination: "192.168.0.1", port: 514, secure: false, severity: Warning }
  4. Impostare Titolo su un nome descrittivo, ad esempio Forward Awake Adversarial Model match result to Microsoft Sentinel.Set Title to a descriptive name like, Forward Awake Adversarial Model match result to Microsoft Sentinel.Set Title to a descriptive name like, Forward Awake Adversarial Model result to Microsoft Sentinel.
  5. Impostare Identificatore riferimento su un elemento facilmente individuabile, ad esempio integrations.cef.sentinel-forwarder.
  6. Seleziona Salva.

Entro pochi minuti dal salvataggio della definizione e di altri campi, il sistema inizia a inviare i risultati della corrispondenza del nuovo modello all'agente di raccolta eventi CEF man mano che vengono rilevati.

Per altre informazioni, vedere la pagina Aggiunta di informazioni di sicurezza e integrazione push di Gestione eventi nella documentazione della Guida nell'interfaccia utente di Awake.

Aruba ClearPass

Configurare Aruba ClearPass per inoltrare i messaggi syslog in formato CEF all'area di lavoro Microsoft Sentinel tramite l'agente syslog.

  1. Seguire queste istruzioni per configurare Aruba ClearPass per l'inoltro di syslog.
  2. Usare l'indirizzo IP o il nome host per il dispositivo Linux con l'agente Linux installato come indirizzo IP di destinazione.

Barracuda WAF

Barracuda Web application firewall può integrarsi ed esportare i log direttamente in Microsoft Sentinel tramite l'agente di monitoraggio Azure (AMA).

  1. Passare alla configurazione di Barracuda WAF e seguire le istruzioni, usando i parametri seguenti per configurare la connessione.

  2. Funzionalità log di Web Firewall: passare alle impostazioni avanzate per l'area di lavoro e nelle> schedeSyslog dati. Assicurarsi che la struttura esista.

Si noti che i dati di tutte le aree vengono archiviati nell'area di lavoro selezionata.

Broadcom SymantecDLP

Configurare Symantec DLP per inoltrare i messaggi syslog in formato CEF all'area di lavoro Microsoft Sentinel tramite l'agente syslog.

  1. Seguire queste istruzioni per configurare symantec DLP per l'inoltro di syslog
  2. Usare l'indirizzo IP o il nome host per il dispositivo Linux con l'agente Linux installato come indirizzo IP di destinazione.

Cisco Firepower EStreamer

Installare e configurare il client Firepower eNcore eStreamer. Per altre informazioni, vedere la guida completa all'installazione.

CiscoSEG

Completare la procedura seguente per configurare Cisco Secure Email Gateway per l'inoltro dei log tramite syslog:

  1. Configurare la sottoscrizione di log.
  2. Selezionare Log eventi consolidati nel campo Tipo di log.

Citrix Web App Firewall

Configurare Citrix WAF per inviare messaggi syslog in formato CEF al computer proxy.

  • Trovare le guide per configurare i log WAF e CEF dal supporto di Citrix.

  • Seguire questa guida per inoltrare i log al proxy. Assicurarsi di inviare i log alla porta 514 TCP nell'indirizzo IP del computer Linux.

Claroty

Configurare l'inoltro dei log usando CEF.

  1. Passare alla sezione Syslog del menu Configurazione.
  2. Selezionare +Aggiungi.
  3. Nella finestra di dialogo Aggiungi nuovo syslog specificare IP server remoto, porta, protocollo.
  4. Selezionare Formato - messaggioCEF.
  5. Scegliere Salva per uscire dalla finestra di dialogo Aggiungi syslog.

Contrast Protect

Configurare l'agente Contrast Protect per inoltrare gli eventi a syslog come descritto qui: https://docs.contrastsecurity.com/en/output-to-syslog.html. Generare alcuni eventi di attacco per l'applicazione.

CrowdStrike Falcon

Distribuire CrowdStrike Falcon SIEM Collector per inoltrare i messaggi syslog in formato CEF all'area di lavoro Microsoft Sentinel tramite l'agente syslog.

  1. Seguire queste istruzioni per distribuire l'agente di raccolta SIEM e inoltrare syslog.
  2. Usare l'indirizzo IP o il nome host per il dispositivo Linux con l'agente Linux installato come indirizzo IP di destinazione.

Eventi di CyberArk Enterprise Password Vault (EPV)

Nel protocollo EPV configurare il dbparm.ini per inviare messaggi syslog in formato CEF al computer proxy. Assicurarsi di inviare i log alla porta 514 TCP nell'indirizzo IP del computer.

Delinea Secret Server

Impostare la soluzione di sicurezza per inviare messaggi syslog in formato CEF al computer proxy. Assicurarsi di inviare i log alla porta 514 TCP nell'indirizzo IP del computer.

ExtraHop Reveal(x)

Impostare la soluzione di sicurezza per inviare messaggi syslog in formato CEF al computer proxy. Assicurarsi di inviare i log alla porta 514 TCP nell'indirizzo IP del computer.

  1. Seguire le istruzioni per installare il bundle del connettore SIEM di rilevamento ExtraHop nel sistema Reveal(x). Il connettore SIEM è necessario per questa integrazione.
  2. Abilitare il trigger per ExtraHop Detection SIEM Connector - CEF.
  3. Aggiornare il trigger con le destinazioni syslog ODS create. 

Il sistema Reveal(x) formatta i messaggi syslog in Common Event Format (CEF) e quindi invia i dati a Microsoft Sentinel.

Reti F5

Configurare F5 per inoltrare i messaggi syslog in formato CEF all'area di lavoro Microsoft Sentinel tramite l'agente syslog.

Passare a F5 Configuring Application Security Event Logging (Configurazione della registrazione eventi di sicurezza delle applicazioni), seguire le istruzioni per configurare la registrazione remota usando le linee guida seguenti:

  1. Impostare il tipo di archiviazione remota su CEF.
  2. Impostare l'impostazione Protocollo suUDP.
  3. Impostare l'indirizzo IP sull'indirizzo IP del server syslog.
  4. Impostare il numero di porta su 514 o la porta usata dall'agente.
  5. Impostare la funzionalità su quella configurata nell'agente syslog. Per impostazione predefinita, l'agente imposta questo valore su local4.
  6. È possibile impostare la dimensione massima della stringa di query in modo che corrisponda a quella configurata.

FireEye Network Security

Completare la procedura seguente per inviare dati usando CEF:

  1. Accedere all'appliance FireEye con un account amministratore.

  2. Selezionare Impostazioni.

  3. Selezionare Notifiche. Selezionare rsyslog.

  4. Selezionare la casella di controllo Tipo di evento .

  5. Assicurarsi che le impostazioni di Rsyslog siano:

    • Formato predefinito: CEF
    • Recapito predefinito: per evento
    • Invio predefinito come: Avviso

Forcepoint CASB

Impostare la soluzione di sicurezza per inviare messaggi syslog in formato CEF al computer proxy. Assicurarsi di inviare i log alla porta 514 TCP nell'indirizzo IP del computer.

Forcepoint CSG

L'integrazione viene resa disponibile con due opzioni di implementazione:

  1. Usa immagini docker in cui il componente di integrazione è già installato con tutte le dipendenze necessarie. Seguire le istruzioni fornite nella Guida all'integrazione.
  2. Richiede la distribuzione manuale del componente di integrazione all'interno di un computer Linux pulito. Seguire le istruzioni fornite nella Guida all'integrazione.

Forcepoint NGFW

Impostare la soluzione di sicurezza per inviare messaggi syslog in formato CEF al computer proxy. Assicurarsi di inviare i log alla porta 514 TCP nell'indirizzo IP del computer.

Controllo comune di ForgeRock per CEF

In ForgeRock installare e configurare questo controllo comune (CAUD) per Microsoft Sentinel in base alla documentazione all'indirizzo https://github.com/javaservlets/SentinelAuditEventHandler. In Azure seguire quindi la procedura per configurare il cef tramite il connettore dati AMA.

Fortinet

Impostare Fortinet per inviare messaggi Syslog in formato CEF al computer proxy. Assicurarsi di inviare i log alla porta 514 TCP nell'indirizzo IP del computer.

Copiare i comandi dell'interfaccia della riga di comando seguenti e:

  • Sostituire "indirizzo> IP server<" con l'indirizzo IP dell'agente Syslog.
  • Impostare "<facility_name>" per usare la funzionalità configurata nell'agente Syslog (per impostazione predefinita, l'agente imposta questa opzione su local4).
  • Impostare la porta Syslog su 514, la porta usata dall'agente.
  • Per abilitare il formato CEF nelle prime versioni di FortiOS, potrebbe essere necessario eseguire il comando "set csv disable".
    Per altre informazioni, passare a Fortinet Document Library, scegliere la versione e usare i PDF "Handbook" e "Log Message Reference".

Ulteriori informazioni >

Configurare la connessione usando l'interfaccia della riga di comando per eseguire i comandi seguenti: config log syslogd setting/n set status enable/nset format cef/nset port 514/nset server <ip_address_of_Receiver>/nend

iboss

Impostare La console delle minacce per inviare messaggi syslog in formato CEF all'area di lavoro Azure. Prendere nota dell'ID dell'area di lavoro e della chiave primaria all'interno dell'area di lavoro Log Analytics. Selezionare l'area di lavoro dal menu Aree di lavoro di Log Analytics nel portale di Azure. Selezionare quindi Gestione agenti nella sezione Impostazioni .

  1. Passare a Reporting & Analytics all'interno della console di iboss.
  2. Selezionare Inoltro log>da reporter.
  3. Selezionare Azioni>Aggiungi servizio.
  4. Passare a Microsoft Sentinel come tipo di servizio e immettere l'ID dell'area di lavoro o la chiave primaria insieme ad altri criteri. Se è stato configurato un computer Linux proxy dedicato, passare a Syslog come tipo di servizio e configurare le impostazioni in modo che puntino al computer Linux proxy dedicato.
  5. Attendere da uno a due minuti per il completamento dell'installazione.
  6. Selezionare il servizio Microsoft Sentinel e verificare che lo stato dell'installazione Microsoft Sentinel sia riuscito. Se è configurato un proxy dedicato Linux computer, è possibile convalidare la connessione.

Illumio Core

Configurare il formato dell'evento.

  1. Dal menu della console Web PCE scegliere Impostazioni > Impostazioni evento per visualizzare le impostazioni correnti.
  2. Selezionare Modifica per modificare le impostazioni.
  3. Impostare Formato evento su CEF.
  4. (Facoltativo) Configurare la gravità dell'evento e il periodo di conservazione.

Configurare l'inoltro di eventi a un server syslog esterno.

  1. Dal menu della console Web PCE scegliere Impostazioni>Impostazioni evento.
  2. Selezionare Aggiungi.
  3. Selezionare Aggiungi repository.
  4. Completare la finestra di dialogo Aggiungi repository .
  5. Selezionare OK per salvare la configurazione di inoltro eventi.

Piattaforma illusiva

  1. Impostare la soluzione di sicurezza per inviare messaggi syslog in formato CEF al computer proxy. Assicurarsi di inviare i log alla porta 514 TCP nell'indirizzo IP del computer.

  2. Accedere alla console Illusive e passare a Report impostazioni>.

  3. Trovare i server Syslog.

  4. Fornire le informazioni seguenti:

    • Nome host: Linux indirizzo IP dell'agente Syslog o nome host FQDN
    • Porta: 514
    • Protocollo: TCP
    • Messaggi di controllo: inviare messaggi di controllo al server

  5. Per aggiungere il server syslog, selezionare Aggiungi.

Per altre informazioni su come aggiungere un nuovo server syslog nella piattaforma Illusive, vedere la Guida alla Amministrazione di Illusive Networks qui:https://support.illusivenetworks.com/hc/en-us/sections/360002292119-Documentation-by-Version

Imperva WAF Gateway

Questo connettore richiede la creazione di un'interfaccia azione e di un set di azioni in Imperva SecureSphere MX. Seguire la procedura per creare i requisiti.

  1. Creare una nuova interfaccia azione che contiene i parametri necessari per inviare avvisi WAF a Microsoft Sentinel.
  2. Creare un nuovo set di azioni che usa l'interfaccia azione configurata.
  3. Applicare il set di azioni a tutti i criteri di sicurezza per i quali si desidera inviare avvisi a Microsoft Sentinel.

Infoblox Cloud Data Connector

Completare la procedura seguente per configurare Infoblox CDC per inviare dati BloxOne a Microsoft Sentinel tramite l'agente syslog Linux.

  1. Passare a Gestisci>connettore dati.
  2. Selezionare la scheda Configurazione destinazione nella parte superiore.
  3. Selezionare Crea > syslog.
    • Nome: assegnare alla nuova destinazione un nome significativo, ad esempio Microsoft-Sentinel-Destination.
    • Descrizione: specificare facoltativamente una descrizione significativa.
    • Stato: impostare lo stato su Abilitato.
    • Formato: impostare il formato su CEF.
    • FQDN/IP: immettere l'indirizzo IP del dispositivo Linux in cui è installato l'agente Linux.
    • Porta: lasciare il numero di porta 514.
    • Protocollo: selezionare il protocollo desiderato e il certificato ca, se applicabile.
    • Selezionare Salva & Chiudi.
  4. Selezionare la scheda Configurazione flusso di traffico nella parte superiore.
  5. Selezionare Crea.
    • Nome: assegnare al nuovo flusso di traffico un nome significativo, ad esempio Microsoft-Sentinel-Flow.
    • Descrizione: specificare facoltativamente una descrizione significativa.
    • Stato: impostare lo stato su Abilitato.
    • Espandere la sezione Istanza del servizio .
      • Istanza del servizio: selezionare l'istanza del servizio desiderata per cui è abilitato il servizio Connettore dati.
    • Espandere la sezione Configurazione origine .
      • Origine: selezionare BloxOne Cloud Source.
      • Selezionare tutti i tipi di log desiderati da raccogliere. I tipi di log attualmente supportati sono:
        • Query/log di risposta di Threat Defense
        • I feed di minacce per la difesa dalle minacce arrivano al log
        • Log query/risposta DDI
        • DDI DHCP Lease Log
    • Espandere la sezione Configurazione di destinazione .
      • Selezionare la destinazione creata.
    • Selezionare Salva & Chiudi.
  6. Consentire l'attivazione della configurazione.

Infoblox SOC Insights

Completare la procedura seguente per configurare Infoblox CDC per inviare dati BloxOne a Microsoft Sentinel tramite l'agente syslog Linux.

  1. Passare a Gestisci > connettore dati.
  2. Selezionare la scheda Configurazione destinazione nella parte superiore.
  3. Selezionare Crea > syslog.
    • Nome: assegnare alla nuova destinazione un nome significativo, ad esempio Microsoft-Sentinel-Destination.
    • Descrizione: specificare facoltativamente una descrizione significativa.
    • Stato: impostare lo stato su Abilitato.
    • Formato: impostare il formato su CEF.
    • FQDN/IP: immettere l'indirizzo IP del dispositivo Linux in cui è installato l'agente Linux.
    • Porta: lasciare il numero di porta 514.
    • Protocollo: selezionare il protocollo desiderato e il certificato ca, se applicabile.
    • Selezionare Salva & Chiudi.
  4. Selezionare la scheda Configurazione flusso di traffico nella parte superiore.
  5. Selezionare Crea.
    • Nome: assegnare al nuovo flusso di traffico un nome significativo, ad esempio Microsoft-Sentinel-Flow.
    • Descrizione: specificare facoltativamente una descrizione significativa.
    • Stato: impostare lo stato su Abilitato.
    • Espandere la sezione Istanza del servizio .
      • Istanza del servizio: selezionare l'istanza del servizio desiderata per cui è abilitato il servizio connettore dati.
    • Espandere la sezione Configurazione origine .
      • Origine: selezionare BloxOne Cloud Source.
      • Selezionare il tipo di log delle notifiche interne .
    • Espandere la sezione Configurazione di destinazione .
      • Selezionare la destinazione creata.
    • Selezionare Salva & Chiudi.
  6. Consentire l'attivazione della configurazione.

KasperskySecurityCenter

Seguire le istruzioni per configurare l'esportazione di eventi dal Centro sicurezza Kaspersky.

Morphisec

Impostare la soluzione di sicurezza per inviare messaggi syslog in formato CEF al computer proxy. Assicurarsi di inviare i log alla porta 514 TCP nell'indirizzo IP del computer.

Revisore netwrix

Seguire le istruzioni per configurare l'esportazione di eventi da Netwrix Auditor.

NozomiNetworks

Completare la procedura seguente per configurare il dispositivo Nozomi Networks per inviare avvisi, controlli e log di integrità tramite syslog in formato CEF:

  1. Accedere alla console guardiana.
  2. Passare ad Amministrazione>Integrazione dei dati.
  3. Selezionare +Aggiungi.
  4. Selezionare common event format (CEF) dall'elenco a discesa.
  5. Creare un nuovo endpoint usando le informazioni dell'host appropriate.
  6. Abilitare avvisi, log di controllo e log di integrità per l'invio.

Piattaforma Onapsis

Fare riferimento alla Guida in-product di Onapsis per configurare l'inoltro dei log all'agente syslog.

  1. Passare a Configurare> integrazioni >di terze partiDifendi allarmi e seguire le istruzioni per Microsoft Sentinel.

  2. Assicurarsi che la console Onapsis possa raggiungere il computer proxy in cui è installato l'agente. I log devono essere inviati alla porta 514 usando TCP.

OSSEC

Seguire questa procedura per configurare OSSEC che invia avvisi tramite syslog.

Palo Alto - XDR (Cortex)

Configurare Palo Alto XDR (Cortex) per inoltrare i messaggi in formato CEF all'area di lavoro Microsoft Sentinel tramite l'agente syslog.

  1. Passare a Impostazioni e configurazioni cortex.
  2. Selezionare questa opzione per aggiungere nuovo server in Applicazioni esterne.
  3. Specificare quindi il nome e assegnare l'INDIRIZZO IP pubblico del server syslog in Destinazione.
  4. Assegnare al numero di porta il valore 514.
  5. Nel campo Struttura selezionare FAC_SYSLOG dall'elenco a discesa.
  6. Selezionare Protocollo come UDP.
  7. Selezionare Crea.

PaloAlto PAN-OS

Configurare Palo Alto Networks per inoltrare i messaggi syslog in formato CEF all'area di lavoro Microsoft Sentinel tramite l'agente syslog.

  1. Passare a configurare Palo Alto Networks NGFW per l'invio di eventi CEF.

  2. Passare a Palo Alto CEF Configuration e Palo Alto Configure Syslog Monitoring steps 2, 3, scegliere la versione e seguire le istruzioni usando le linee guida seguenti:

    1. Impostare il formato del server Syslog su BSD.
    2. Copiare il testo in un editor e rimuovere tutti i caratteri che potrebbero interrompere il formato del log prima di incollarlo. Le operazioni di copia/incolla dal PDF potrebbero modificare il testo e inserire caratteri casuali.

Altre informazioni

PaloAltoCDL

Seguire le istruzioni per configurare l'inoltro dei log da Cortex Data Lake a un server syslog.

PingFederate

Seguire questa procedura per configurare PingFederate inviando il log di controllo tramite syslog in formato CEF.

RidgeSecurity

Configurare RidgeBot per inoltrare gli eventi al server syslog, come descritto qui. Generare alcuni eventi di attacco per l'applicazione.

SonicWall Firewall

Impostare SonicWall Firewall per inviare messaggi syslog in formato CEF al computer proxy. Assicurarsi di inviare i log alla porta 514 TCP nell'indirizzo IP del computer.

Seguire le istruzioni. Assicurarsi quindi di selezionare local use 4 come struttura. Selezionare quindi ArcSight come formato syslog.

Trend Micro Apex One

Seguire questa procedura per configurare Apex Central inviando avvisi tramite syslog. Durante la configurazione, al passaggio 6 selezionare il formato di log CEF.

Trend Micro Deep Security

Impostare la soluzione di sicurezza per inviare messaggi syslog in formato CEF al computer proxy. Assicurarsi di inviare i log alla porta 514 TCP nell'indirizzo IP del computer.

  1. Inoltrare eventi Trend Micro Deep Security all'agente syslog.
  2. Definire una nuova configurazione di syslog che usa il formato CEF facendo riferimento a questo articolo della Knowledge Base per altre informazioni.
  3. Configurare Deep Security Manager per usare questa nuova configurazione per inoltrare gli eventi all'agente syslog usando queste istruzioni.
  4. Assicurarsi di salvare la funzione TrendMicroDeepSecurity in modo che eserciti correttamente le query sui dati di Trend Micro Deep Security.

Trend Micro TippingPoint

Impostare l'SMS tippingPoint per inviare messaggi syslog in formato CEF ArcSight v4.2 al computer proxy. Assicurarsi di inviare i log alla porta 514 TCP nell'indirizzo IP del computer.

Controller applicazione vArmour

Inviare messaggi syslog in formato CEF al computer proxy. Assicurarsi di inviare i log alla porta 514 TCP nell'indirizzo IP del computer.

Vectra AI Detect

Configurare l'agente Vectra (X Series) per inoltrare i messaggi syslog in formato CEF all'area di lavoro Microsoft Sentinel tramite l'agente syslog.

Dall'interfaccia utente di Vectra passare a Impostazioni > Notifiche e Modifica configurazione syslog. Seguire le istruzioni seguenti per configurare la connessione:

  1. Aggiungere una nuova destinazione , ovvero l'host in cui è in esecuzione l'agente syslog Microsoft Sentinel.
  2. Impostare la porta su 514.
  3. Impostare Il protocollo come UDP.
  4. Impostare il formato su CEF.
  5. Impostare Tipi di log. Selezionare tutti i tipi di log disponibili.
  6. Selezionare Salva.
  7. Selezionare il pulsante Test per inviare alcuni eventi di test.

Per altre informazioni, vedere la Guida al rilevamento di Cognito Syslog, che può essere scaricata dalla pagina delle risorse in Rileva interfaccia utente.

Votiro

Impostare Votiro Endpoints per inviare messaggi syslog in formato CEF al computer di inoltro. Assicurarsi di inviare i log alla porta 514 TCP nell'indirizzo IP del computer d'inoltro.

Piattaforma WireX Network Forensics

Contattare il supporto di WireX (https://wirexsystems.com/contact-us/) per configurare la soluzione NFP per inviare messaggi syslog in formato CEF al computer proxy. Assicurarsi che il gestore centrale possa inviare i log alla porta TCP 514 nell'indirizzo IP del computer.

WithSecure Elements via Connector

Connettere l'appliance WithSecure Elements Connector a Microsoft Sentinel. Il connettore dati WithSecure Elements Connector consente di connettere facilmente i log di WithSecure Elements con Microsoft Sentinel, visualizzare i dashboard, creare avvisi personalizzati e migliorare l'analisi.

Nota

I dati vengono archiviati nella posizione geografica dell'area di lavoro in cui si esegue Microsoft Sentinel.

Configurare Con Secure Elements Connector per inoltrare i messaggi syslog in formato CEF all'area di lavoro Log Analytics tramite l'agente syslog.

  1. Selezionare o creare un computer Linux per Microsoft Sentinel da usare come proxy tra la soluzione WithSecurity e Microsoft Sentinel. Il computer può essere un ambiente locale, Microsoft Azure o un altro ambiente basato sul cloud. Linux deve essere syslog-ng installato e python/python3 installato.
  2. Installare Azure Monitoring Agent (AMA) nel computer Linux e configurare il computer in modo che sia in ascolto sulla porta necessaria e inoltrare i messaggi all'area di lavoro Microsoft Sentinel. L'agente di raccolta CEF raccoglie i messaggi CEF sulla porta 514 TCP. È necessario disporre di autorizzazioni elevate (sudo) nel computer.
  3. Passare a EPP nel portale WithSecure Elements. Passare quindi a Download. Nella sezione Connettore Elements selezionare Crea chiave di sottoscrizione. È possibile controllare la chiave di sottoscrizione in Sottoscrizioni.
  4. Nella sezione Download in WithSecure Elements Connector selezionare il programma di installazione corretto e scaricarlo.
  5. Quando si usa EPP, aprire le impostazioni dell'account dall'angolo in alto a destra. Selezionare quindi Get management API key (Ottieni chiave API di gestione). Se la chiave è stata creata in precedenza, può essere letta anche lì.
  6. Per installare Elements Connector, seguire la documentazione di Elements Connector.
  7. Se l'accesso api non è configurato durante l'installazione, seguire Configurazione dell'accesso API per Elements Connector.
  8. Passare a EPP, quindi a Profili, quindi usare Per connettore da dove è possibile visualizzare i profili del connettore. Creare un nuovo profilo o modificare un profilo non di sola lettura esistente. In Inoltro eventi abilitarlo. Impostare l'indirizzo di sistema SIEM: 127.0.0.1:514. Impostare format su Common Event Format (Formato evento comune). Il protocollo è TCP. Salvare il profilo e assegnarlo a Elements Connector nella scheda Dispositivi .
  9. Per usare lo schema pertinente in Log Analytics per WithSecure Elements Connector, cercare CommonSecurityLog.
  10. Continuare con la convalida della connettività CEF.

Zscaler

Impostare il prodotto Zscaler per inviare messaggi syslog in formato CEF all'agente syslog. Assicurarsi di inviare i log sulla porta 514 TCP.

Per altre informazioni, vedere La guida all'integrazione di Zscaler Microsoft Sentinel.

Contenuto correlato

  • Last updated on