CEF tramite il connettore dati AMA - Configurare un'appliance o un dispositivo specifico per l'inserimento dati di Microsoft Sentinel
La raccolta di log da molti dispositivi e appliance di sicurezza è supportata dal common event format (CEF) tramite il connettore dati AMA in Microsoft Sentinel. Questo articolo elenca le istruzioni di installazione fornite dal provider per dispositivi e appliance di sicurezza specifici che usano questo connettore dati. Contattare il provider per gli aggiornamenti, altre informazioni o la posizione in cui le informazioni non sono disponibili per l'appliance di sicurezza o il dispositivo.
Per inserire dati nell'area di lavoro Log Analytics per Microsoft Sentinel, completare i passaggi descritti in Inserire messaggi syslog e CEF a Microsoft Sentinel con l'agente di Monitoraggio di Azure. Questi passaggi includono l'installazione di Common Event Format (CEF) tramite il connettore dati AMA in Microsoft Sentinel. Dopo aver installato il connettore, usare le istruzioni appropriate per il dispositivo, come illustrato più avanti in questo articolo, per completare la configurazione.
Per altre informazioni sulla soluzione Microsoft Sentinel correlata per ognuna di queste appliance o dispositivi, cercare i modelli di soluzione tipo di>prodotto in Azure Marketplace o esaminare la soluzione dall'hub contenuto in Microsoft Sentinel.
Importante
Microsoft Sentinel è disponibile a livello generale all'interno della piattaforma unificata per le operazioni di sicurezza di Microsoft nel portale di Microsoft Defender. Per l'anteprima, Microsoft Sentinel è disponibile nel portale di Defender senza Microsoft Defender XDR o una licenza E5. Per altre informazioni, vedere Microsoft Sentinel nel portale di Microsoft Defender.
Darktrace analista di intelligenza artificiale
Configurare Darktrace per inoltrare i messaggi syslog in formato CEF all'area di lavoro di Azure tramite l'agente syslog.
- In Darktrace Threat Visualizer passare alla pagina Configurazione di sistema nel menu principale in Amministrazione.
- Nel menu a sinistra selezionare Moduli e scegliere Microsoft Sentinel dalle integrazioni del flusso di lavoro disponibili.
- Individuare CEF syslog di Microsoft Sentinel e selezionare Nuovo per visualizzare le impostazioni di configurazione, a meno che non sia già esposto.
- Nel campo Configurazione server immettere il percorso del server d'inoltro del log e, facoltativamente, modificare la porta di comunicazione. Assicurarsi che la porta selezionata sia impostata su 514 ed sia consentita da qualsiasi firewall intermedio.
- Configurare eventuali soglie di avviso, offset di tempo o altre impostazioni in base alle esigenze.
- Esaminare le altre opzioni di configurazione che è possibile abilitare per modificare la sintassi syslog.
- Abilitare Invia avvisi e salvare le modifiche.
Akamai Security Events
Seguire questa procedura per configurare il connettore CEF Akamai per inviare messaggi syslog in formato CEF al computer proxy. Assicurarsi di inviare i log alla porta 514 TCP nell'indirizzo IP del computer.
AristaAwakeSecurity
Completare i passaggi seguenti per inoltrare i risultati della corrispondenza del modello antagonista sveglio a un agente di raccolta CEF in ascolto sulla porta TCP 514 all'indirizzo IP 192.168.0.1:
- Passare alla pagina Detection Management Skills (Competenze di gestione rilevamento) nell'interfaccia utente attiva.
- Selezionare + Aggiungi nuova competenza.
- Imposta espressione su
integrations.cef.tcp { destination: "192.168.0.1", port: 514, secure: false, severity: Warning }
- Impostare Titolo su un nome descrittivo, ad esempio Forward Awake Adversarial Model result (Avanti modello antagonista) su Microsoft Sentinel.
- Impostare Identificatore riferimento su un elemento facilmente individuabile, integrations.cef.sentinel-forwarder.
- Seleziona Salva.
Entro pochi minuti dal salvataggio della definizione e di altri campi, il sistema inizia a inviare nuovi risultati di corrispondenza del modello all'agente di raccolta eventi CEF man mano che vengono rilevati.
Per altre informazioni, vedere la pagina Aggiunta di informazioni di sicurezza e integrazione push gestione eventi dalla documentazione della Guida nell'interfaccia utente attiva.
Aruba ClearPass
Configurare Aruba ClearPass per inoltrare i messaggi syslog in formato CEF all'area di lavoro di Microsoft Sentinel tramite l'agente syslog.
- Seguire queste istruzioni per configurare Aruba ClearPass per inoltrare syslog.
- Usare l'indirizzo IP o il nome host per il dispositivo Linux con l'agente Linux installato come indirizzo IP di destinazione.
Barracuda WAF
Barracuda Web Application Firewall può integrare ed esportare i log direttamente in Microsoft Sentinel tramite l'agente di monitoraggio di Azure.
Passare alla configurazione di Barracuda WAF e seguire le istruzioni, usando i parametri seguenti per configurare la connessione.
Funzionalità dei log di Web Firewall: passare alle impostazioni avanzate per l'area di lavoro e nelle schede Syslog dati>. Assicurarsi che la struttura esista.
Si noti che i dati di tutte le aree vengono archiviati nell'area di lavoro selezionata.
Broadcom SymantecDLP
Configurare Symantec DLP per inoltrare messaggi syslog in formato CEF all'area di lavoro di Microsoft Sentinel tramite l'agente syslog.
- Seguire queste istruzioni per configurare Symantec DLP per inoltrare syslog
- Usare l'indirizzo IP o il nome host per il dispositivo Linux con l'agente Linux installato come indirizzo IP di destinazione.
Cisco Firepower EStreamer
Installare e configurare il client Firepower eNcore eStreamer. Per altre informazioni, vedere la guida completa all'installazione.
CiscoSEG
Completare la procedura seguente per configurare Cisco Secure Email Gateway per inoltrare i log tramite syslog:
- Configurare la sottoscrizione log.
- Selezionare Log eventi consolidati nel campo Tipo di log.
Citrix Web App Firewall
Configurare Citrix WAF per inviare messaggi syslog in formato CEF al computer proxy.
Trovare le guide per configurare i log WAF e CEF da Citrix Support.
Seguire questa guida per inoltrare i log al proxy. Assicurarsi di inviare i log alla porta 514 TCP nell'indirizzo IP del computer Linux.
Claroty
Configurare l'inoltro dei log usando CEF.
- Passare alla sezione Syslog del menu Configurazione.
- Selezionare +Aggiungi.
- Nella finestra di dialogo Aggiungi nuovo syslog specificare l'indirizzo IP del server remoto, la porta, il protocollo.
- Selezionare Formato messaggio - CEF.
- Scegliere Salva per uscire dalla finestra di dialogo Aggiungi Syslog.
Protezione a contrasto
Configurare l'agente Contrast Protect per inoltrare gli eventi a syslog come descritto di seguito: https://docs.contrastsecurity.com/en/output-to-syslog.html. Generare alcuni eventi di attacco per l'applicazione.
CrowdStrike Falcon
Distribuire CrowdStrike Falcon SIEM Collector per inoltrare messaggi syslog in formato CEF all'area di lavoro di Microsoft Sentinel tramite l'agente syslog.
- Seguire queste istruzioni per distribuire l'agente di raccolta SIEM e inoltrare syslog.
- Usare l'indirizzo IP o il nome host per il dispositivo Linux con l'agente Linux installato come indirizzo IP di destinazione.
Eventi EPV (CyberArk Enterprise Password Vault)
Nell'EPV configurare il dbparm.ini per inviare messaggi syslog in formato CEF al computer proxy. Assicurarsi di inviare i log alla porta 514 TCP nell'indirizzo IP dei computer.
Delineare il server segreto
Impostare la soluzione di sicurezza per inviare messaggi syslog in formato CEF al computer proxy. Assicurarsi di inviare i log alla porta 514 TCP nell'indirizzo IP del computer.
ExtraHop Reveal(x)
Impostare la soluzione di sicurezza per inviare messaggi syslog in formato CEF al computer proxy. Assicurarsi di inviare i log alla porta 514 TCP nell'indirizzo IP del computer.
- Seguire le istruzioni per installare il bundle siem di rilevamento ExtraHop nel sistema Reveal(x). Per questa integrazione è necessario il connettore SIEM.
- Abilitare il trigger per il connettore SIEM di rilevamento ExtraHop - CEF.
- Aggiornare il trigger con le destinazioni syslog ODS create.
Il sistema Reveal(x) formatta i messaggi syslog in Common Event Format (CEF) e quindi invia i dati a Microsoft Sentinel.
F5 Networks
Configurare F5 per inoltrare messaggi syslog in formato CEF all'area di lavoro di Microsoft Sentinel tramite l'agente syslog.
Passare a F5 Configuring Application Security Event Logging (Configurazione della registrazione eventi di sicurezza delle applicazioni), seguire le istruzioni per configurare la registrazione remota usando le linee guida seguenti:
- Impostare Remote storage type (Tipo di archiviazione remota) su CEF.
- Impostare l'impostazione Protocollo su UDP.
- Impostare l'indirizzo IP sull'indirizzo IP del server syslog.
- Impostare il numero di porta su 514 o la porta usata dall'agente.
- Impostare la funzionalità su quella configurata nell'agente syslog. Per impostazione predefinita, l'agente imposta questo valore su local4.
- È possibile impostare la dimensione massima della stringa di query come configurata.
Sicurezza di rete FireEye
Completare i passaggi seguenti per inviare dati usando CEF:
Accedere all'appliance FireEye con un account amministratore.
Seleziona Impostazioni.
Selezionare Notifiche. Selezionare rsyslog.
Selezionare la casella di controllo Tipo di evento.
Assicurarsi che le impostazioni di Rsyslog siano:
- Formato predefinito: CEF
- Recapito predefinito: per evento
- Invio predefinito come: Avviso
Forcepoint CASB
Impostare la soluzione di sicurezza per inviare messaggi syslog in formato CEF al computer proxy. Assicurarsi di inviare i log alla porta 514 TCP nell'indirizzo IP del computer.
Forcepoint CSG
L'integrazione viene resa disponibile con due opzioni di implementazione:
- Usa immagini Docker in cui il componente di integrazione è già installato con tutte le dipendenze necessarie. Seguire le istruzioni fornite nella Guida all'integrazione.
- Richiede la distribuzione manuale del componente di integrazione all'interno di un computer Linux pulito. Seguire le istruzioni fornite nella Guida all'integrazione.
Forcepoint NGFW
Impostare la soluzione di sicurezza per inviare messaggi syslog in formato CEF al computer proxy. Assicurarsi di inviare i log alla porta 514 TCP nell'indirizzo IP del computer.
ForgeRock Common Audit per CEF
In ForgeRock installare e configurare questo controllo comune per Microsoft Sentinel in base alla documentazione all'indirizzo https://github.com/javaservlets/SentinelAuditEventHandler. Successivamente, in Azure, seguire la procedura per configurare CEF tramite il connettore dati AMA.
Fortinet
Impostare Fortinet per inviare messaggi Syslog in formato CEF al computer proxy. Assicurarsi di inviare i log alla porta 514 TCP nell'indirizzo IP del computer.
Copiare i comandi dell'interfaccia della riga di comando seguenti e:
- Sostituire "indirizzo> IP server<" con l'indirizzo IP dell'agente Syslog.
- Impostare "<facility_name>" per usare la funzionalità configurata nell'agente Syslog (per impostazione predefinita, l'agente imposta questa opzione su local4).
- Impostare la porta Syslog su 514, la porta usata dall'agente.
- Per abilitare il formato CEF nelle prime versioni di FortiOS, potrebbe essere necessario eseguire il comando "set csv disable".
Per altre informazioni, passare alla raccolta documenti fortinet, scegliere la versione e usare i PDF "Manuale" e "Log Message Reference".
Configurare la connessione usando l'interfaccia della riga di comando per eseguire i comandi seguenti: config log syslogd setting/n set status enable/nset format cef/nset port 514/nset server <ip_address_of_Receiver>/nend
iboss
Impostare la console per le minacce per inviare messaggi syslog in formato CEF all'area di lavoro di Azure. Prendere nota dell'ID dell'area di lavoro e della chiave primaria all'interno dell'area di lavoro Log Analytics. Selezionare l’area di lavoro dal menu Aree di lavoro Log Analytics nel portale di Azure. Selezionare quindi Gestione agenti nella sezione Impostazioni .
- Passare a Reporting & Analytics all'interno della console di iboss.
- Selezionare Inoltro>log da Reporter.
- Selezionare Azioni>Aggiungi servizio.
- Passare a Microsoft Sentinel come tipo di servizio e immettere l'ID /chiave primaria dell'area di lavoro insieme ad altri criteri. Se è stato configurato un computer Linux proxy dedicato, passare a Syslog come tipo di servizio e configurare le impostazioni in modo che puntino al computer Linux proxy dedicato.
- Attendere uno o due minuti per il completamento dell'installazione.
- Selezionare il servizio Microsoft Sentinel e verificare che lo stato dell'installazione di Microsoft Sentinel abbia esito positivo. Se è configurato un computer Linux proxy dedicato, è possibile convalidare la connessione.
Illumio Core
Configurare il formato dell'evento.
- Dal menu della console Web PCE scegliere Impostazioni > impostazioni eventi per visualizzare le impostazioni correnti.
- Selezionare Modifica per modificare le impostazioni.
- Impostare Formato evento su CEF.
- (Facoltativo) Configurare la gravità e il periodo di conservazione degli eventi.
Configurare l'inoltro di eventi a un server syslog esterno.
- Dal menu della console Web PCE scegliere Impostazioni eventi>.
- Selezionare Aggiungi.
- Selezionare Aggiungi repository.
- Completare la finestra di dialogo Aggiungi repository .
- Selezionare OK per salvare la configurazione di inoltro eventi.
Piattaforma illusiva
Impostare la soluzione di sicurezza per inviare messaggi syslog in formato CEF al computer proxy. Assicurarsi di inviare i log alla porta 514 TCP nell'indirizzo IP del computer.
Accedere alla console Illusive e passare a Impostazioni>report.
Trovare i server Syslog.
Fornire le informazioni seguenti:
- Nome host: indirizzo IP dell'agente Syslog Linux o nome host FQDN
- Porta: 514
- Protocollo: TCP
- Messaggi di controllo: inviare messaggi di controllo al server
Per aggiungere il server syslog, selezionare Aggiungi.
Per altre informazioni su come aggiungere un nuovo server syslog nella piattaforma Illusive, vedere la Guida dell'amministratore di Illusive Networks qui: https://support.illusivenetworks.com/hc/en-us/sections/360002292119-Documentation-by-Version
Imperva WAF Gateway
Per questo connettore è necessario creare un'interfaccia azione e un set di azioni in Imperva SecureSphere MX. Seguire la procedura per creare i requisiti.
- Creare una nuova interfaccia azione contenente i parametri necessari per inviare avvisi WAF a Microsoft Sentinel.
- Creare un nuovo set di azioni che usa l'interfaccia azione configurata.
- Applicare il set di azioni a tutti i criteri di sicurezza che si desidera ricevere avvisi per l'invio a Microsoft Sentinel.
Infoblox Cloud Data Connector
Completare i passaggi seguenti per configurare Infoblox CDC per inviare dati BloxOne a Microsoft Sentinel tramite l'agente Syslog Linux.
- Passare a Gestisci>connettore dati.
- Selezionare la scheda Configurazione destinazione nella parte superiore.
- Selezionare Crea > Syslog.
- Nome: assegnare un nome significativo alla nuova destinazione, ad esempio Microsoft-Sentinel-Destination.
- Descrizione: facoltativamente assegnare una descrizione significativa.
- Stato: impostare lo stato su Abilitato.
- Formato: impostare il formato su CEF.
- FQDN/IP: immettere l'indirizzo IP del dispositivo Linux in cui è installato l'agente Linux.
- Porta: lasciare il numero di porta 514.
- Protocollo: selezionare il protocollo desiderato e il certificato della CA, se applicabile.
- Selezionare Salva e chiudi.
- Selezionare la scheda Configurazione flusso di traffico nella parte superiore.
- Selezionare Crea.
- Nome: assegnare al nuovo flusso di traffico un nome significativo, ad esempio Microsoft-Sentinel-Flow.
- Descrizione: facoltativamente assegnare una descrizione significativa.
- Stato: impostare lo stato su Abilitato.
- Espandere la sezione Istanza del servizio.
- Istanza del servizio: selezionare l'istanza del servizio desiderata per cui è abilitato il servizio Data Connector.
- Espandere la sezione Configurazione origine.
- Origine: selezionare BloxOne Cloud Source (Origine cloud BloxOne).
- Selezionare tutti i tipi di log desiderati da raccogliere. I tipi di log attualmente supportati sono:
- Query/log di risposta di Threat Defense
- I feed di minacce di Threat Defense colpisce il log
- Log query/risposta DDI
- DDI DHCP Lease Log
- Espandere la sezione Configurazione destinazione.
- Selezionare la destinazione creata.
- Selezionare Salva e chiudi.
- Consentire l'attivazione della configurazione.
Infoblox SOC Insights
Completare i passaggi seguenti per configurare Infoblox CDC per inviare dati BloxOne a Microsoft Sentinel tramite l'agente Syslog Linux.
- Passare a Gestisci > connettore dati.
- Selezionare la scheda Configurazione destinazione nella parte superiore.
- Selezionare Crea > Syslog.
- Nome: assegnare un nome significativo alla nuova destinazione, ad esempio Microsoft-Sentinel-Destination.
- Descrizione: facoltativamente assegnare una descrizione significativa.
- Stato: impostare lo stato su Abilitato.
- Formato: impostare il formato su CEF.
- FQDN/IP: immettere l'indirizzo IP del dispositivo Linux in cui è installato l'agente Linux.
- Porta: lasciare il numero di porta 514.
- Protocollo: selezionare il protocollo desiderato e il certificato della CA, se applicabile.
- Selezionare Salva e chiudi.
- Selezionare la scheda Configurazione flusso di traffico nella parte superiore.
- Selezionare Crea.
- Nome: assegnare al nuovo flusso di traffico un nome significativo, ad esempio Microsoft-Sentinel-Flow.
- Descrizione: facoltativamente assegnare una descrizione significativa.
- Stato: impostare lo stato su Abilitato.
- Espandere la sezione Istanza del servizio.
- Istanza del servizio: selezionare l'istanza del servizio desiderata per cui è abilitato il servizio data connector.
- Espandere la sezione Configurazione origine.
- Origine: selezionare BloxOne Cloud Source (Origine cloud BloxOne).
- Selezionare il tipo di log delle notifiche interne.
- Espandere la sezione Configurazione destinazione.
- Selezionare la destinazione creata.
- Selezionare Salva e chiudi.
- Consentire l'attivazione della configurazione.
KasperskySecurityCenter
Seguire le istruzioni per configurare l'esportazione di eventi da Kaspersky Security Center.
Morphisec
Impostare la soluzione di sicurezza per inviare messaggi syslog in formato CEF al computer proxy. Assicurarsi di inviare i log alla porta 514 TCP nell'indirizzo IP del computer.
Netwrix Auditor
Seguire le istruzioni per configurare l'esportazione di eventi da Netwrix Auditor.
NozomiNetworks
Completare i passaggi seguenti per configurare il dispositivo Nozomi Networks per inviare avvisi, controllo e log di integrità tramite syslog in formato CEF:
- Accedere alla console guardiana.
- Passare ad Amministrazione> Integrazione dei dati.
- Selezionare +Aggiungi.
- Selezionare Common Event Format (CEF) nell'elenco a discesa.
- Creare un nuovo endpoint usando le informazioni host appropriate.
- Abilitare avvisi, log di controllo e log di integrità per l'invio.
Piattaforma Onapsis
Per configurare l'inoltro dei log all'agente syslog, vedere la Guida di Onapsis nel prodotto.
Passare a Setup Third-party integrations Defend Alarms> (Configura>integrazioni di terze parti) e seguire le istruzioni per Microsoft Sentinel.
Assicurarsi che la console Onapsis possa raggiungere il computer proxy in cui è installato l'agente. I log devono essere inviati alla porta 514 tramite TCP.
OSSEC
Seguire questa procedura per configurare l'invio di avvisi da PARTE di OSSEC tramite syslog.
Palo Alto - XDR (Cortex)
Configurare Palo Alto XDR (Cortex) per inoltrare i messaggi in formato CEF all'area di lavoro di Microsoft Sentinel tramite l'agente syslog.
- Passare a Cortex Settings and Configurations (Impostazioni e configurazioni di Cortex).
- Selezionare per aggiungere nuovo server in Applicazioni esterne.
- Specificare quindi il nome e assegnare l'indirizzo IP pubblico del server syslog in Destinazione.
- Assegnare il numero di porta come 514.
- Nel campo Struttura selezionare FAC_SYSLOG dall'elenco a discesa.
- Selezionare Protocollo come UDP.
- Selezionare Crea.
PaloAlto-PAN-OS
Configurare Palo Alto Networks per inoltrare messaggi syslog in formato CEF all'area di lavoro di Microsoft Sentinel tramite l'agente syslog.
Passare a configurare Palo Alto Networks NGFW per l'invio di eventi CEF.
Passare a Palo Alto CEF Configuration and Palo Alto Configure Syslog Monitoring steps 2, 3, choose your version and follow the instructions using the following guidelines:
- Impostare il formato del server Syslog su BSD.
- Copiare il testo in un editor e rimuovere tutti i caratteri che potrebbero interrompere il formato del log prima di incollarlo. Le operazioni di copia/incolla dal PDF potrebbero modificare il testo e inserire caratteri casuali.
PaloAltoCDL
Seguire le istruzioni per configurare l'inoltro dei log da Cortex Data Lake a un server syslog.
PingFederate
Seguire questa procedura per configurare PingFederate l'invio del log di controllo tramite syslog in formato CEF.
RidgeSecurity
Configurare RidgeBot per inoltrare gli eventi al server syslog come descritto qui. Generare alcuni eventi di attacco per l'applicazione.
SonicWall Firewall
Impostare SonicWall Firewall per inviare messaggi syslog in formato CEF al computer proxy. Assicurarsi di inviare i log alla porta 514 TCP nell'indirizzo IP del computer.
Seguire le istruzioni. Assicurarsi quindi di selezionare l'uso locale 4 come struttura. Selezionare quindi ArcSight come formato syslog.
Trend Micro Apex One
Seguire questa procedura per configurare Apex Central che invia avvisi tramite syslog. Durante la configurazione, nel passaggio 6 selezionare il formato di log CEF.
Trend Micro Deep Security
Impostare la soluzione di sicurezza per inviare messaggi syslog in formato CEF al computer proxy. Assicurarsi di inviare i log alla porta 514 TCP sull'indirizzo IP del computer.
- Inoltrare gli eventi Trend Micro Deep Security all'agente syslog.
- Definire una nuova configurazione syslog che usa il formato CEF facendo riferimento a questo articolo della Knowledge Base per altre informazioni.
- Configurare Deep Security Manager per usare questa nuova configurazione per inoltrare gli eventi all'agente syslog usando queste istruzioni.
- Assicurarsi di salvare la funzione TrendMicroDeepSecurity in modo che esegui una query sui dati trend Micro Deep Security correttamente.
Trend Micro TippingPoint
Impostare l'SMS di TippingPoint per inviare messaggi syslog nel formato CEF di ArcSight v4.2 al computer proxy. Assicurarsi di inviare i log alla porta 514 TCP nell'indirizzo IP del computer.
Controller applicazione vArmour
Inviare messaggi syslog in formato CEF al computer proxy. Assicurarsi di inviare i log alla porta 514 TCP nell'indirizzo IP del computer.
Scaricare la guida utente da https://support.varmour.com/hc/en-us/articles/360057444831-vArmour-Application-Controller-6-0-User-Guide. Nella guida dell'utente fare riferimento a "Configurazione di Syslog per il monitoraggio e le violazioni" e seguire i passaggi da 1 a 3.
Rilevamento di intelligenza artificiale Vectra
Configurare l'agente Vectra (X Series) per inoltrare i messaggi syslog in formato CEF all'area di lavoro di Microsoft Sentinel tramite l'agente syslog.
Dall'interfaccia utente di Vectra passare a Impostazioni > Notifiche e Modifica configurazione syslog. Seguire le istruzioni seguenti per configurare la connessione:
- Aggiungere una nuova destinazione, ovvero l'host in cui è in esecuzione l'agente syslog di Microsoft Sentinel.
- Impostare la porta su 514.
- Impostare Protocollo come UDP.
- Impostare il formato su CEF.
- Impostare Tipi di log. Selezionare tutti i tipi di log disponibili.
- Selezionare Salva.
- Selezionare il pulsante Test per inviare alcuni eventi di test.
Per altre informazioni, vedere la Guida di Cognito Detect Syslog, che può essere scaricata dalla pagina della risorsa in Rileva interfaccia utente.
Votiro
Impostare Votiro Endpoints per inviare messaggi syslog in formato CEF al computer forwarder. Assicurarsi di inviare i log alla porta 514 TCP nell'indirizzo IP del computer d'inoltro.
WireX Network Forensics Platform
Contattare il supporto tecnico WireX (https://wirexsystems.com/contact-us/) per configurare la soluzione NFP per inviare messaggi syslog in formato CEF al computer proxy. Assicurarsi che il gestore centrale possa inviare i log alla porta 514 TCP sull'indirizzo IP del computer.
WithSecure Elements tramite connettore
Connettere l'appliance WithSecure Elements Connector a Microsoft Sentinel. Il connettore dati WithSecure Elements Connector consente di connettere facilmente i log di WithSecure Elements con Microsoft Sentinel per visualizzare i dashboard, creare avvisi personalizzati e migliorare l'analisi.
Nota
I dati vengono archiviati nella posizione geografica dell'area di lavoro in cui si esegue Microsoft Sentinel.
Configurare With Secure Elements Connector per inoltrare messaggi syslog in formato CEF all'area di lavoro Log Analytics tramite l'agente syslog.
- Selezionare o creare un computer Linux per Microsoft Sentinel da usare come proxy tra la soluzione WithSecurity e Microsoft Sentinel. Il computer può essere un ambiente locale, Microsoft Azure o un altro ambiente basato sul cloud. Linux deve avere
syslog-ng
epython
/python3
installare. - Installare Azure Monitoring Agent (AMA) nel computer Linux e configurare il computer per l'ascolto sulla porta necessaria e inoltrare i messaggi all'area di lavoro di Microsoft Sentinel. L'agente di raccolta CEF raccoglie messaggi CEF sulla porta 514 TCP. È necessario disporre di autorizzazioni elevate (sudo) nel computer.
- Passare a EPP nel portale Con elementi sicuri. Passare quindi a Download. Nella sezione Elements Connector selezionare Crea chiave di sottoscrizione. È possibile controllare la chiave di sottoscrizione in Sottoscrizioni.
- Nella sezione Download in WithSecure Elements Connector selezionare il programma di installazione corretto e scaricarlo.
- Quando si usa EPP, aprire le impostazioni dell'account dall'angolo superiore destro. Selezionare quindi Recupera chiave API di gestione. Se la chiave è stata creata in precedenza, può anche essere letta.
- Per installare Elements Connector, seguire La documentazione di Elements Connector.
- Se l'accesso all'API non è configurato durante l'installazione, seguire Configurazione dell'accesso api per Elements Connector.
- Passare a EPP, quindi Profili, quindi usare For Connector da dove è possibile visualizzare i profili del connettore. Creare un nuovo profilo (o modificare un profilo non di sola lettura esistente). In Inoltro eventi abilitarlo. Impostare l'indirizzo di sistema SIEM: 127.0.0.1:514. Impostare formato su Formato evento comune. Il protocollo è TCP. Salvare il profilo e assegnarlo a Elements Connector nella scheda Dispositivi .
- Per usare lo schema pertinente in Log Analytics per withSecure Elements Connector, cercare CommonSecurityLog.
- Continuare con la convalida della connettività CEF.
Zscaler
Impostare il prodotto Zscaler per inviare messaggi syslog in formato CEF all'agente syslog. Assicurarsi di inviare i log sulla porta 514 TCP.
Per altre informazioni, vedere Guida all'integrazione di Zscaler Microsoft Sentinel.