Syslog tramite il connettore dati AMA - Configurare un'appliance o un dispositivo specifico per l'inserimento di dati Microsoft Sentinel

Syslog tramite il connettore dati AMA in Microsoft Sentinel raccoglie i log da molte appliance e dispositivi di sicurezza. Questo articolo elenca le istruzioni di installazione fornite dal provider per dispositivi e dispositivi di sicurezza specifici che usano questo connettore dati. Contattare il provider per gli aggiornamenti, altre informazioni o se le informazioni non sono disponibili per l'appliance o il dispositivo di sicurezza.

Per inoltrare i dati all'area di lavoro Log Analytics per Microsoft Sentinel, completare i passaggi descritti in Inserire messaggi syslog e CEF per Microsoft Sentinel con l'agente di monitoraggio Azure. Quando si completano questi passaggi, installare Syslog tramite il connettore dati AMA in Microsoft Sentinel. Usare quindi le istruzioni del provider appropriate in questo articolo per completare la configurazione.

Per altre informazioni sulla soluzione di Microsoft Sentinel correlata per ognuna di queste appliance o dispositivi, cercare imodelli di soluzione del tipo di> prodotto in Azure Marketplace oppure esaminare la soluzione dall'hub contenuto in Microsoft Sentinel.

Barracuda CloudGen Firewall

Seguire le istruzioni per configurare lo streaming syslog. Usare l'indirizzo IP o il nome host per il computer Linux con l'agente Microsoft Sentinel installato per l'indirizzo IP di destinazione.

Blackberry CylancePROTECT

Seguire queste istruzioni per configurare CylancePROTECT per inoltrare syslog. Usare l'indirizzo IP o il nome host per il dispositivo Linux con l'agente Linux installato come indirizzo IP di destinazione.

Cisco Application Centric Infrastructure (ACI)

Configurare il sistema Cisco ACI per inviare i log tramite syslog al server remoto in cui si installa l'agente. Seguire questa procedura per configurare la destinazione Syslog, il gruppo di destinazione e l'origine syslog.

Questo connettore dati è stato sviluppato usando Cisco ACI Versione 1.x.

Motore di Cisco Identity Services (ISE)

Seguire queste istruzioni per configurare i percorsi di raccolta syslog remoti nella distribuzione di Cisco ISE.

Cisco Stealthwatch

Completare i passaggi di configurazione seguenti per ottenere i log di Cisco Stealthwatch in Microsoft Sentinel.

1. Accedere a Stealthwatch Management Console (SMC) come amministratore.

2. Nella barra dei menu selezionare ConfigurationResponse Management.In the menu bar, select Configuration> Response Management.

3. Nella sezione Azioni del menu Gestione risposte selezionare Aggiungi > messaggio syslog.

4. Nella finestra Aggiungi azione messaggio Syslog configurare i parametri.

5. Immettere il formato personalizzato seguente:

   |Lancope|Stealthwatch|7.3|{alarm_type_id}|0x7C|src={source_ip}|dst={target_ip}|dstPort={port}|proto={protocol}|msg={alarm_type_description}|fullmessage={details}|start={start_active_time}|end={end_active_time}|cat={alarm_category_name}|alarmID={alarm_id}|sourceHG={source_host_group_names}|targetHG={target_host_group_names}|sourceHostSnapshot={source_url}|targetHostSnapshot={target_url}|flowCollectorName={device_name}|flowCollectorIP={device_ip}|domain={domain_name}|exporterName={exporter_hostname}|exporterIPAddress={exporter_ip}|exporterInfo={exporter_label}|targetUser={target_username}|targetHostname={target_hostname}|sourceUser={source_username}|alarmStatus={alarm_status}|alarmSev={alarm_severity_name}

6. Selezionare il formato personalizzato dall'elenco e OK.

7. Selezionare Regole di gestione > delle risposte.

8. Selezionare Aggiungi e allarme host.

9. Specificare un nome di regola nel campo Nome .

10. Creare regole selezionando i valori dai menu Tipo e Opzioni . Per aggiungere altre regole, selezionare l'icona con i puntini di sospensione. Per un allarme host, combinare il più possibile i tipi possibili in un'istruzione .

Questo connettore dati è stato sviluppato con Cisco Stealthwatch versione 7.3.2

Cisco Unified Computing Systems (UCS)

Seguire queste istruzioni per configurare Cisco UCS per l'inoltro di syslog. Usare l'indirizzo IP o il nome host per il dispositivo Linux con l'agente Linux installato come indirizzo IP di destinazione.

Appliance di sicurezza Web Cisco (WSA)

Configurare Cisco per inoltrare i log tramite syslog al server remoto in cui si installa l'agente. Seguire questa procedura per configurare Cisco WSA per inoltrare i log tramite Syslog

Selezionare Syslog Push come metodo di recupero.

Questo connettore dati è stato sviluppato usando AsyncOS 14.0 per l'appliance di sicurezza Web Cisco

Citrix Application Delivery Controller (ADC)

Configurare Citrix ADC (in precedenza NetScaler) per inoltrare i log tramite Syslog.

1. Passare alla scheda Configurazione Scheda > Controllo sistema >> Server Syslog >
2. Specificare il nome dell'azione Syslog.
3. Impostare l'indirizzo IP del server Syslog remoto e della porta.
4. Impostare Tipo di trasporto come TCP o UDP a seconda della configurazione remota del server syslog.

Per altre informazioni, vedere la documentazione di Citrix ADC (ex NetScaler).

Prevenzione della perdita di dati di Digital Guardian

Completare la procedura seguente per configurare Digital Guardian per inoltrare i log tramite Syslog:

1. Accedere a Digital Guardian Management Console.
2. SelezionareEsporta dati dell'area>di lavoro>Crea esportazione.
3. Nell'elenco Origini dati selezionare Avvisi o eventi come origine dati.
4. Nell'elenco Tipo di esportazione selezionare Syslog.
5. Nell'elenco Tipo selezionare UDP o TCP come protocollo di trasporto.
6. Nel campo Server digitare l'indirizzo IP del server syslog remoto.
7. Nel campo Porta digitare 514 (o un'altra porta se il server syslog è stato configurato per l'uso di una porta non predefinita).
8. Nell'elenco Livello di gravità selezionare un livello di gravità.
9. Selezionare la casella di controllo Attiva .
10. Seleziona Avanti.
11. Nell'elenco dei campi disponibili aggiungere campi Avviso o Evento per l'esportazione dei dati.
12. Selezionare criteri per i campi nell'esportazione dei dati e Avanti.
13. Selezionare un gruppo per i criteri e Avanti.
14. Selezionare Query di test.
15. Seleziona Avanti.
16. Salvare l'esportazione dei dati.

Integrazione di Protezione ESET

Configurare ESET PROTECT per inviare tutti gli eventi tramite Syslog.

1. Seguire queste istruzioni per configurare l'output di syslog. Assicurarsi di selezionare BSD come formato e TCP come trasporto.
2. Seguire queste istruzioni per esportare tutti i log in syslog. Selezionare JSON come formato di output.

Exabeam Analisi avanzata

Seguire queste istruzioni per inviare Exabeam Analisi avanzata dati del log attività tramite syslog.

Questo connettore dati è stato sviluppato usando Exabeam Analisi avanzata i54 (Syslog)

Forescout

Completare la procedura seguente per ottenere i log forescout in Microsoft Sentinel.

1. Selezionare un'appliance da configurare.
2. Seguire queste istruzioni per inoltrare gli avvisi dalla piattaforma Forescout a un server syslog.
3. Configurare le impostazioni nella scheda Trigger syslog .

Questo connettore dati è stato sviluppato usando la versione del plug-in Forescout Syslog: v3.6

Gitlab

Seguire queste istruzioni per inviare i dati del log di controllo di Gitlab tramite syslog.

Associazione ISC

1. Seguire queste istruzioni per configurare l'associazione ISC per inoltrare syslog: Log DNS.
2. Configurare syslog per inviare il traffico syslog all'agente. Usare l'indirizzo IP o il nome host per il dispositivo Linux con l'agente Linux installato come indirizzo IP di destinazione.

Infoblox Network Identity Operating System (NIOS)

Seguire queste istruzioni per abilitare l'inoltro syslog dei log NIOS di Infoblox. Usare l'indirizzo IP o il nome host per il dispositivo Linux con l'agente Linux installato come indirizzo IP di destinazione.

Ivanti Unified Endpoint Management

Seguire le istruzioni per configurare Azioni di avviso per inviare i log al server syslog.

Questo connettore dati è stato sviluppato usando Ivanti Unified Endpoint Management Release 2021.1 versione 11.0.3.374

Juniper SRX

1. Completare le istruzioni seguenti per configurare Juniper SRX per l'inoltro di syslog:

   • Log del traffico (log dei criteri di sicurezza)
   • Log di sistema

2. Usare l'indirizzo IP o il nome host per il dispositivo Linux con l'agente Linux installato come indirizzo IP di destinazione.

McAfee Network Security Platform

Completare i passaggi di configurazione seguenti per ottenere i log di McAfee® Network Security Platform in Microsoft Sentinel.

1. Inoltrare gli avvisi dal gestore a un server syslog.

2. È necessario aggiungere un profilo di notifica syslog. Durante la creazione del profilo, per assicurarsi che gli eventi siano formattati correttamente, immettere il testo seguente nella casella di testo Messaggio:

   <SyslogAlertForwarderNSP>:|SENSOR_ALERT_UUID|ALERT_TYPE|ATTACK_TIME|ATTACK_NAME|ATTACK_ID |ATTACK_SEVERITY|ATTACK_SIGNATURE|ATTACK_CONFIDENCE|ADMIN_DOMAIN|SENSOR_NAME|INTERFACE |SOURCE_IP|SOURCE_PORT|DESTINATION_IP|DESTINATION_PORT|CATEGORY|SUB_CATEGORY |DIRECTION|RESULT_STATUS|DETECTION_MECHANISM|APPLICATION_PROTOCOL|NETWORK_PROTOCOL|

Questo connettore dati è stato sviluppato usando McAfee® Network Security Platform versione: 10.1.x.

McAfee ePolicy Orchestrator

Per indicazioni su come registrare un server syslog, contattare il provider.

Microsoft Sysmon per Linux

Questo connettore dati dipende dai parser ASIM basati su funzioni Kusto per funzionare come previsto. Distribuire i parser.

Vengono distribuite le funzioni seguenti:

• vimFileEventLinuxSysmonFileCreated, vimFileEventLinuxSysmonFileDeleted
• vimProcessCreateLinuxSysmon, vimProcessTerminateLinuxSysmon
• vimNetworkSessionLinuxSysmon

Altre informazioni

Nasuni

Seguire le istruzioni riportate nella Guida alla console di gestione Nasuni per configurare le appliance Nasuni Edge per inoltrare gli eventi syslog. Usare l'indirizzo IP o il nome host del dispositivo Linux che esegue l'agente di monitoraggio Azure nel campo Configurazione server per le impostazioni di syslog.

Openvpn

Installare l'agente nel server in cui viene inoltrato OpenVPN. I log del server OpenVPN vengono scritti in un file syslog comune (a seconda della distribuzione Linux usata, ad esempio /var/log/messages).

Controllo del database Oracle

Completare i passaggi seguenti.

1. Creare il database Oracle Seguire questa procedura.
2. Accedere al database Oracle creato. Seguire questa procedura.
3. Abilitare la registrazione unificata su syslog by Alter the system per abilitare la registrazione unificataSeguendo questa procedura.
4. Creare e abilitare criteri di controllo per il controllo unificatoSeguire questa procedura.
5. Abilitazione di syslog e Visualizzatore eventi Captures per l'audit trail unificato Seguire questa procedura.

Pulse Connect Secure

Seguire le istruzioni per abilitare lo streaming syslog dei log di Pulse Connect Secure. Usare l'indirizzo IP o il nome host per il dispositivo Linux con l'agente Linux installato come indirizzo IP di destinazione.

RSA SecurID

Completare la procedura seguente per ottenere i log di Rsa® SecurID Authentication Manager in Microsoft Sentinel. Seguire queste istruzioni per inoltrare gli avvisi da Manager a un server syslog.

Questo connettore dati è stato sviluppato usando RSA SecurID Authentication Manager versione: 8.4 e 8.5

Sophos XG Firewall

Seguire queste istruzioni per abilitare lo streaming syslog. Usare l'indirizzo IP o il nome host per il dispositivo Linux con l'agente Linux installato come indirizzo IP di destinazione.

Symantec Endpoint Protection

Seguire queste istruzioni per configurare Symantec Endpoint Protection per l'inoltro di syslog. Usare l'indirizzo IP o il nome host per il dispositivo Linux con l'agente Linux installato come indirizzo IP di destinazione.

Symantec ProxySG

1. Accedere a Blue Coat Management Console.

2. Selezionare Formatidi registrazione> accesso alla configurazione>.

3. Selezionare Nuovo.

4. Immettere un nome univoco nel campo Nome formato .

5. Selezionare il pulsante di opzione per Stringa di formato personalizzato e incollare la stringa seguente nel campo .

   1 $(date) $(time) $(time-taken) $(c-ip) $(cs-userdn) $(cs-auth-groups) $(x-exception-id) $(sc-filter-result) $(cs-categories) $(quot)$(cs(Referer))$(quot) $(sc-status) $(s-action) $(cs-method) $(quot)$(rs(Content-Type))$(quot) $(cs-uri-scheme) $(cs-host) $(cs-uri-port) $(cs-uri-path) $(cs-uri-query) $(cs-uri-extension) $(quot)$(cs(User-Agent))$(quot) $(s-ip) $(sr-bytes) $(rs-bytes) $(x-virus-id) $(x-bluecoat-application-name) $(x-bluecoat-application-operation) $(cs-uri-port) $(x-cs-client-ip-country) $(cs-threat-risk)

6. Selezionare OK.

7. Selezionare Applican.

8. Seguire queste istruzioni per abilitare lo streaming syslog dei log di Access . Usare l'indirizzo IP o il nome host per il dispositivo Linux con l'agente Linux installato come indirizzo IP di destinazione

Symantec VIP

Seguire queste istruzioni per configurare Symantec VIP Enterprise Gateway per l'inoltro di syslog. Usare l'indirizzo IP o il nome host per il dispositivo Linux con l'agente Linux installato come indirizzo IP di destinazione.

VMware ESXi

1. Seguire queste istruzioni per configurare VMware ESXi per l'inoltro di syslog:

   • VMware ESXi 5.0+

2. Usare l'indirizzo IP o il nome host per il dispositivo Linux con l'agente Linux installato come indirizzo IP di destinazione.

WatchGuard Firebox

Seguire queste istruzioni per inviare i dati di log di WatchGuard Firebox tramite syslog.

Contenuto correlato

• Inserire messaggi syslog e CEF da Microsoft Sentinel con l'agente di monitoraggio Azure
• Syslog tramite AMA e Common Event Format (CEF) tramite connettori AMA per Microsoft Sentinel