Microsoft Sentinelの AMA データ コネクタを介した Syslog は、多くのセキュリティ アプライアンスとデバイスからログを収集します。 この記事では、このデータ コネクタを使用する特定のセキュリティ アプライアンスとデバイスに対して、プロバイダーが提供するインストール手順の一覧を示します。 更新プログラム、詳細情報、またはセキュリティ アプライアンスまたはデバイスで情報が利用できない場合は、プロバイダーにお問い合わせください。
Microsoft Sentinelのために Log Analytics ワークスペースにデータを転送するには、「syslog メッセージと CEF メッセージを取り込んで、Azure Monitor エージェントとMicrosoft Sentinelする」の手順を実行します。 これらの手順を完了したら、Microsoft Sentinelに AMA データ コネクタを使用して Syslog をインストールします。 次に、この記事の適切なプロバイダーの手順を使用して、セットアップを完了します。
これらのアプライアンスまたはデバイスごとに関連するMicrosoft Sentinel ソリューションの詳細については、Azure Marketplace で製品の種類>ソリューション テンプレートを検索するか、Microsoft Sentinelの Content ハブからソリューションを確認します。
重要
サード パーティベンダーによって提供されるソリューションは、非推奨の Log Analytics エージェント コネクタを引き続き参照している可能性があります。 これらのコネクタは、新しいデプロイではサポートされていません。 代わりに、AMA データ コネクタを 介して Syslog で同じソリューションを引き続き使用できます。
Barracuda CloudGen Firewall
手順に従って Syslog ストリーミングを構成します。 宛先 IP アドレスにMicrosoft Sentinel エージェントがインストールされているLinux マシンの IP アドレスまたはホスト名を使用します。
Blackberry CylancePROTECT
Syslog を転送するように CylancePROTECT を構成するには、次の手順に従います。 Linux エージェントが宛先 IP アドレスとしてインストールされているLinux デバイスの IP アドレスまたはホスト名を使用します。
Cisco Application Centric Infrastructure (ACI)
Syslog 経由でエージェントをインストールするリモート サーバにログを送信するように Cisco ACI システムを設定します。 Syslog 宛先、宛先グループ、Syslog ソースを構成するには、次の手順に従います。
このデータ コネクタは、Cisco ACI リリース 1.x を使用して開発されました。
Cisco Identity Services Engine (ISE)
Cisco ISE 展開でリモート syslog 収集場所を設定するには、次の手順に従います。
Cisco Stealthwatch
Cisco Stealthwatch ログをMicrosoft Sentinelに取得するには、次の構成手順を実行します。
管理者として、Stealthwatch 管理コンソール (SMC) にサインインします。
メニュー バーで、[ 構成>Response Management] を選択します。
[応答管理] メニューの [アクション] セクションで、[> Syslog メッセージの追加] を選択します。
[ Syslog メッセージ アクションの追加] ウィンドウで、パラメーターを構成します。
次のカスタム形式を入力します。
|Lancope|Stealthwatch|7.3|{alarm_type_id}|0x7C|src={source_ip}|dst={target_ip}|dstPort={port}|proto={protocol}|msg={alarm_type_description}|fullmessage={details}|start={start_active_time}|end={end_active_time}|cat={alarm_category_name}|alarmID={alarm_id}|sourceHG={source_host_group_names}|targetHG={target_host_group_names}|sourceHostSnapshot={source_url}|targetHostSnapshot={target_url}|flowCollectorName={device_name}|flowCollectorIP={device_ip}|domain={domain_name}|exporterName={exporter_hostname}|exporterIPAddress={exporter_ip}|exporterInfo={exporter_label}|targetUser={target_username}|targetHostname={target_hostname}|sourceUser={source_username}|alarmStatus={alarm_status}|alarmSev={alarm_severity_name}一覧からカスタム形式を選択し、[ OK] を選択します。
[ 応答管理] > [ルール] を選択します。
[ 追加 と ホスト アラーム] を選択します。
[名前] フィールドにルール名を 指定 します。
[種類] メニューと [オプション] メニューから値を選択してルールを作成します。 さらにルールを追加するには、省略記号アイコンを選択します。 ホスト アラームの場合は、ステートメントで可能な限り多くの型を組み合わせます。
このデータ コネクタは、Cisco Stealthwatch バージョン 7.3.2 を使用して開発されました
Cisco Unified Computing Systems (UCS)
Syslog を転送するように Cisco UCS を設定するには、次の手順に従います。 Linux エージェントが宛先 IP アドレスとしてインストールされているLinux デバイスの IP アドレスまたはホスト名を使用します。
注:
このデータ コネクタの機能は、操作に不可欠な Kusto 関数ベースのパーサーに依存しています。 このパーサーは、ソリューションのインストールの一部としてデプロイされます。
パーサーを更新し、パーサーの最初の行でログを送信するソース マシンのホスト名を指定します。
Log Analytics 内の関数コードにアクセスするには、[Log Analytics/Microsoft Sentinel ログ] セクションに移動し、[関数] を選択して、エイリアス CiscoUCS を検索します。 または、 関数コードを直接読み込みます。 インストール後の更新には約 15 分かかる場合があります。 このソリューションは非推奨の Log Analytics エージェント コネクタを参照していますが、代わりに AMA データ コネクタ経由の Syslog を使用して、参照されるパーサーを含む同じソリューションを引き続き使用できます。
Cisco Web セキュリティ アプライアンス(WSA)
Syslog 経由でエージェントをインストールするリモート サーバにログを転送するように Cisco を設定します。 Syslog 経由でログを転送するように Cisco WSA を設定するには、次の手順に従います
取得方法として [Syslog プッシュ] を選択します。
このデータ コネクタは、Cisco Web セキュリティ アプライアンス用 AsyncOS 14.0 を使用して開発されました
Citrix アプリケーション配信コントローラー (ADC)
Syslog 経由でログを転送するように Citrix ADC (旧 NetScaler) を構成します。
- [System > Auditing > Syslog > Servers] タブ> [構成] タブに移動します
- Syslog アクション名を指定します。
- リモート Syslog サーバーとポートの IP アドレスを設定します。
- リモート syslog サーバーの構成に応じて、 トランスポートの種類 を TCP または UDP に設定します。
詳細については、 Citrix ADC (旧 NetScaler) のドキュメントを参照してください。
注:
このデータ コネクタの機能は、操作に不可欠な Kusto 関数ベースのパーサーに依存しています。 このパーサーは、ソリューションのインストールの一部としてデプロイされます。 Log Analytics 内の関数コードにアクセスするには、[Log Analytics/Microsoft Sentinel ログ] セクションに移動し、[関数] を選択して、エイリアス CitrixADCEvent を検索します。 または、 関数コードを直接読み込むことができます。 更新には、インストール後に約 15 分かかる場合があります。 このソリューションは非推奨の Log Analytics エージェント コネクタを参照していますが、代わりに AMA データ コネクタ経由の Syslog を使用して、参照されるパーサーを含む同じソリューションを引き続き使用できます。
このパーサーには、 Sources_by_SourceType という名前のウォッチリストが必要です。
i. ウォッチリストがまだ作成されていない場合は、Azure portalのMicrosoft Sentinelからウォッチリストを作成します。
ii. ウォッチリスト Sources_by_SourceType 開き、このデータ ソースのエントリを追加します。
ii. CitrixADC の SourceType 値が CitrixADC。
詳細については、「 高度なセキュリティ情報モデル (ASIM) パーサーの管理」を参照してください。
デジタルガーディアンデータ損失防止
Syslog を介してログを転送するように Digital Guardian を構成するには、次の手順を実行します。
- Digital Guardian 管理コンソールにサインインします。
- [ ワークスペース>Data Export>Create Export を選択します。
- [データ ソース] の一覧で、データ ソースとして [アラート] または [イベント] を選択します。
- [ エクスポートの種類 ] ボックスの一覧から [Syslog] を選択 します。
- [ 種類] ボックスの一覧で、トランスポート プロトコルとして [UDP] または [TCP ] を選択します。
- [ サーバー ] フィールドに、リモート syslog サーバーの IP アドレスを入力します。
- [ ポート ] フィールドに「514(または syslog サーバーが既定以外のポートを使用するように構成されている場合は他のポート)」と入力します。
- [ 重大度レベル ] の一覧から、重大度レベルを選択します。
- [アクティブチェック] ボックスを選択します。
- [次へ] を選択します。
- 使用可能なフィールドの一覧から、データ エクスポートの [アラート] フィールドまたは [イベント] フィールドを追加します。
- データエクスポートと 次へのフィールドの条件を選択します。
- 条件のグループを選択し、[ 次へ] を選択します。
- [ テスト クエリ] を選択します。
- [次へ] を選択します。
- データ エクスポートを保存します。
ESET Protect の統合
すべてのイベントを Syslog 経由で送信するように ESET PROTECT を構成します。
- syslog 出力を構成するには、 次の手順 に従います。 必ず形式として BSD を選択し、 トランスポートとして TCP を選択してください。
- 次の手順に従って、すべてのログを syslog にエクスポートします。 出力形式として [JSON ] を選択します。
Exabeam 高度分析
次の手順に従って、Syslog 経由で Exabeam 高度分析アクティビティ ログ データを送信します。
このデータ コネクタは、Exabeam 高度分析 i54 (Syslog) を使用して開発されました
Forescout
次の手順を実行して、forescout ログをMicrosoft Sentinelに取得します。
- 構成するアプライアンスを選択します。
- Forescout プラットフォームから syslog サーバーにアラートを転送するには、次の手順に従います。
- [Syslog トリガー] タブで設定を構成します。
このデータ コネクタは、Forescout Syslog プラグイン バージョン v3.6 を使用して開発されました
Gitlab
次の手順に従って、Syslog 経由で Gitlab 監査ログ データを送信します。
ISC バインド
- SYSLOG: DNS ログを転送するように ISC バインドを構成するには、次の手順に従います。
- syslog トラフィックをエージェントに送信するように syslog を構成します。 Linux エージェントが宛先 IP アドレスとしてインストールされているLinux デバイスの IP アドレスまたはホスト名を使用します。
Infoblox ネットワーク ID オペレーティング システム (NIOS)
Infoblox NIOS ログの syslog 転送を有効にするには、次の手順に従います。 Linux エージェントが宛先 IP アドレスとしてインストールされているLinux デバイスの IP アドレスまたはホスト名を使用します。
注:
このデータ コネクタの機能は、操作に不可欠な Kusto 関数ベースのパーサーに依存しています。 このパーサーは、ソリューションのインストールの一部としてデプロイされます。
Log Analytics 内の関数コードにアクセスするには、[Log Analytics/Microsoft Sentinel ログ] セクションに移動し、[関数] を選択して、エイリアス Infoblox を検索します。 または、 関数コードを直接読み込むことができます。 更新には、インストール後に約 15 分かかる場合があります。 このソリューションは非推奨の Log Analytics エージェント コネクタを参照していますが、代わりに AMA データ コネクタ経由の Syslog を使用して、参照されるパーサーを含む同じソリューションを引き続き使用できます。
このパーサーには、 Sources_by_SourceType という名前のウォッチリストが必要です。
i. ウォッチリストがまだ作成されていない場合は、Azure portalのMicrosoft Sentinelからウォッチリストを作成します。
ii. ウォッチリスト Sources_by_SourceType 開き、このデータ ソースのエントリを追加します。
ii. InfobloxNIOS の SourceType 値が InfobloxNIOS。
詳細については、「 高度なセキュリティ情報モデル (ASIM) パーサーの管理」を参照してください。
Ivanti Unified Endpoint Management
指示に従って 、Syslog サーバーにログを送信するアラート アクションを設定します。
このデータ コネクタは、Ivanti Unified Endpoint Management リリース 2021.1 バージョン 11.0.3.374 を使用して開発されました
Juniper SRX
Syslog を転送するように Juniper SRX を構成するには、次の手順を実行します。
Linux エージェントが宛先 IP アドレスとしてインストールされているLinux デバイスの IP アドレスまたはホスト名を使用します。
McAfee ネットワーク セキュリティ プラットフォーム
McAfee® Network Security Platform のログをMicrosoft Sentinelに取得するには、次の構成手順を実行します。
マネージャーから syslog サーバーにアラートを転送します。
syslog 通知プロファイルを追加する必要があります。 プロファイルの作成時に、イベントの形式が正しいことを確認するには、[メッセージ] テキスト ボックスに次のテキストを入力します。
<SyslogAlertForwarderNSP>:|SENSOR_ALERT_UUID|ALERT_TYPE|ATTACK_TIME|ATTACK_NAME|ATTACK_ID|ATTACK_SEVERITY|ATTACK_SIGNATURE|ATTACK_CONFIDENCE|ADMIN_DOMAIN|SENSOR_NAME|INTERFACE|SOURCE_IP|SOURCE_PORT|DESTINATION_IP|DESTINATION_PORT|CATEGORY|SUB_CATEGORY|DIRECTION|RESULT_STATUS|DETECTION_MECHANISM|APPLICATION_PROTOCOL|NETWORK_PROTOCOL|
このデータ コネクタは、McAfee® Network Security Platform バージョン 10.1.x を使用して開発されました。
McAfee ePolicy Orchestrator
Syslog サーバーを登録する方法のガイダンスについては、プロバイダーにお問い合わせください。
Microsoft Sysmon for Linux
このデータ コネクタは、想定どおりに動作する Kusto 関数に基づく ASIM パーサーに依存します。 パーサーをデプロイします。
次の関数がデプロイされます。
- vimFileEventLinuxSysmonFileCreated, vimFileEventLinuxSysmonFileDeleted
- vimProcessCreateLinuxSysmon, vimProcessTerminateLinuxSysmon
- vimNetworkSessionLinuxSysmon
Nasuni
Nasuni 管理コンソール ガイドの指示に従って、Syslog イベントを転送するように Nasuni Edge Appliance を構成します。 syslog 設定の [サーバー構成] フィールドで、Azure モニター エージェントを実行しているLinux デバイスの IP アドレスまたはホスト名を使用します。
Openvpn
OpenVPN が転送されるサーバーにエージェントをインストールします。 OpenVPN サーバー ログは、一般的な syslog ファイルに書き込まれます (使用されるLinuxディストリビューションに応じて、/var/log/messages など)。
Oracle データベース監査
次の手順を実行します。
- Oracle データベースを作成 する次の手順に従います。
- 作成した Oracle データベースにサインインします。 次の手順に従います。
- 次の手順に従って、システムを変更して統合ログを有効にすることで、syslog 経由で統合ログを有効にします。
- 統合監査の監査ポリシーを作成して有効にする次の手順に従います。
- 統合監査証跡の syslog および イベント ビューアー キャプチャを有効にする次の手順に従います。
Pulse Connect Secure
指示に従って、Pulse Connect Secure ログの syslog ストリーミングを有効にします。 Linux エージェントが宛先 IP アドレスとしてインストールされているLinux デバイスの IP アドレスまたはホスト名を使用します。
注:
このデータ コネクタの機能は、操作に不可欠な Kusto 関数ベースのパーサーに依存しています。 このパーサーは、ソリューションのインストールの一部としてデプロイされます。
パーサーを更新し、パーサーの最初の行でログを送信するソース マシンのホスト名を指定します。
Log Analytics 内の関数コードにアクセスするには、[Log Analytics/Microsoft Sentinel ログ] セクションに移動し、[関数] を選択して、エイリアス PulseConnectSecure を検索します。 または、 関数コードを直接読み込みます。 更新には、インストール後に約 15 分かかる場合があります。 このソリューションは非推奨の Log Analytics エージェント コネクタを参照していますが、代わりに AMA データ コネクタ経由の Syslog を使用して、参照されるパーサーを含む同じソリューションを引き続き使用できます。
RSA SecurID
RSA® SecurID Authentication Manager のログをMicrosoft Sentinelに取得するには、次の手順を実行します。 次の手順に従って 、Manager から syslog サーバーにアラートを転送します。
注:
このデータ コネクタの機能は、操作に不可欠な Kusto 関数ベースのパーサーに依存しています。 このパーサーは、ソリューションのインストールの一部としてデプロイされます。
パーサーを更新し、パーサーの最初の行でログを送信するソース マシンのホスト名を指定します。
Log Analytics 内の関数コードにアクセスするには、[Log Analytics/Microsoft Sentinel ログ] セクションに移動し、[関数] を選択して、エイリアス RSASecurIDAMEvent を検索します。 または、 関数コードを直接読み込むことができます。 更新には、インストール後に約 15 分かかる場合があります。 このソリューションは非推奨の Log Analytics エージェント コネクタを参照していますが、代わりに AMA データ コネクタ経由の Syslog を使用して、参照されるパーサーを含む同じソリューションを引き続き使用できます。
このデータ コネクタは、RSA SecurID Authentication Manager バージョン 8.4 および 8.5 を使用して開発されました
Sophos XG Firewall
Syslog ストリーミングを有効にするには、次の手順に従います。 Linux エージェントが宛先 IP アドレスとしてインストールされているLinux デバイスの IP アドレスまたはホスト名を使用します。
注:
このデータ コネクタの機能は、操作に不可欠な Kusto 関数ベースのパーサーに依存しています。 このパーサーは、ソリューションのインストールの一部としてデプロイされます。
パーサーを更新し、パーサーの最初の行でログを送信するソース マシンのホスト名を指定します。 Log Analytics 内の関数コードにアクセスするには、[Log Analytics/Microsoft Sentinel ログ] セクションに移動し、[関数] を選択して、エイリアス SophosXGFirewall を検索します。 または、 関数コードを直接読み込みます。 更新には、インストール後に約 15 分かかる場合があります。 このソリューションは非推奨の Log Analytics エージェント コネクタを参照していますが、代わりに AMA データ コネクタ経由の Syslog を使用して、参照されるパーサーを含む同じソリューションを引き続き使用できます。
Symantec Endpoint Protection
Syslog を転送するように Symantec Endpoint Protection を構成するには、次の手順に従います。 Linux エージェントが宛先 IP アドレスとしてインストールされているLinux デバイスの IP アドレスまたはホスト名を使用します。
注:
このデータ コネクタの機能は、操作に不可欠な Kusto 関数ベースのパーサーに依存しています。 このパーサーは、ソリューションのインストールの一部としてデプロイされます。
パーサーを更新し、パーサーの最初の行でログを送信するソース マシンのホスト名を指定します。 Log Analytics 内の関数コードにアクセスするには、[Log Analytics/Microsoft Sentinel ログ] セクションに移動し、[関数] を選択して、別名 SymantecEndpointProtection を検索します。 または、 関数コードを直接読み込むことができます。 更新には、インストール後に約 15 分かかる場合があります。 このソリューションは非推奨の Log Analytics エージェント コネクタを参照していますが、代わりに AMA データ コネクタ経由の Syslog を使用して、参照されるパーサーを含む同じソリューションを引き続き使用できます。
Symantec ProxySG
Blue Coat 管理コンソールにサインインします。
[ Configuration>Access Logging>Formats] を選択します。
[新規]を選択します。
[書式名] フィールドに一意の 名前を 入力します。
[ カスタム書式指定文字列 ] のラジオ ボタンを選択し、次の文字列をフィールドに貼り付けます。
1 $(date) $(time) $(time-taken) $(c-ip) $(cs-userdn) $(cs-auth-groups) $(x-exception-id) $(sc-filter-result) $(cs-categories) $(quot)$(cs(Referer))$(quot) $(sc-status) $(s-action) $(cs-method) $(quot)$(rs(Content-Type))$(quot) $(cs-uri-scheme) $(cs-host) $(cs-uri-port) $(cs-uri-path) $(cs-uri-query) $(cs-uri-extension) $(quot)$(cs(User-Agent))$(quot) $(s-ip) $(sr-bytes) $(rs-bytes) $(x-virus-id) $(x-bluecoat-application-name) $(x-bluecoat-application-operation) $(cs-uri-port) $(x-cs-client-ip-country) $(cs-threat-risk)[OK] を選択します。
[ Apply n]\(適用n\) を選択します。
アクセス ログの syslog ストリーミングを有効にするには、次の手順に従います。 Linux エージェントが宛先 IP アドレスとしてインストールされているLinux デバイスの IP アドレスまたはホスト名を使用する
注:
このデータ コネクタの機能は、操作に不可欠な Kusto 関数ベースのパーサーに依存しています。 このパーサーは、ソリューションのインストールの一部としてデプロイされます。
パーサーを更新し、パーサーの最初の行でログを送信するソース マシンのホスト名を指定します。
Log Analytics 内の関数コードにアクセスするには、[Log Analytics/Microsoft Sentinel ログ] セクションに移動し、[関数] を選択して、別名 SymantecProxySG を検索します。 または、 関数コードを直接読み込みます。 更新には、インストール後に約 15 分かかる場合があります。 このソリューションは非推奨の Log Analytics エージェント コネクタを参照していますが、代わりに AMA データ コネクタ経由の Syslog を使用して、参照されるパーサーを含む同じソリューションを引き続き使用できます。
Symantec VIP
Syslog を転送するように Symantec VIP Enterprise Gateway を構成するには、次の手順に従います。 Linux エージェントが宛先 IP アドレスとしてインストールされているLinux デバイスの IP アドレスまたはホスト名を使用します。
注:
このデータ コネクタの機能は、操作に不可欠な Kusto 関数ベースのパーサーに依存しています。 このパーサーは、ソリューションのインストールの一部としてデプロイされます。
パーサーを更新し、パーサーの最初の行でログを送信するソース マシンのホスト名を指定します。
Log Analytics 内の関数コードにアクセスするには、[Log Analytics/Microsoft Sentinel ログ] セクションに移動し、[関数] を選択し、別名 SymantecVIP を検索します。 または、 関数コードを直接読み込みます。 更新には、インストール後に約 15 分かかる場合があります。 このソリューションは非推奨の Log Analytics エージェント コネクタを参照していますが、代わりに AMA データ コネクタ経由の Syslog を使用して、参照されるパーサーを含む同じソリューションを引き続き使用できます。
VMware ESXi
Syslog を転送するように VMware ESXi を構成するには、次の手順に従います。
Linux エージェントが宛先 IP アドレスとしてインストールされているLinux デバイスの IP アドレスまたはホスト名を使用します。
注:
このデータ コネクタの機能は、操作に不可欠な Kusto 関数ベースのパーサーに依存しています。 このパーサーは、ソリューションのインストールの一部としてデプロイされます。
パーサーを更新し、パーサーの最初の行でログを送信するソース マシンのホスト名を指定します。
Log Analytics 内の関数コードにアクセスするには、[Log Analytics/Microsoft Sentinel ログ] セクションに移動し、[関数] を選択して、エイリアス VMwareESXi を検索します。 または、 関数コードを直接読み込みます。 更新には、インストール後に約 15 分かかる場合があります。 このソリューションは非推奨の Log Analytics エージェント コネクタを参照していますが、代わりに AMA データ コネクタ経由の Syslog を使用して、参照されるパーサーを含む同じソリューションを引き続き使用できます。
WatchGuard Firebox
次の手順に従って 、Syslog 経由で WatchGuard Firebox ログ データを送信します。