موصل Zscaler Private Access ل Microsoft Sentinel

  • مقالة

يوفر موصل بيانات Zscaler Private Access (ZPA) القدرة على استيعاب أحداث Zscaler Private Access في Microsoft Sentinel. راجع وثائق Zscaler Private Access لمزيد من المعلومات.

هذا محتوى تم إنشاؤه تلقائيا. للحصول على تغييرات، اتصل بموفر الحل.

سمات الاتصال أو

سمة الموصل ‏‏الوصف
الاسم المستعار لدالة Kusto ZPAEvent
عنوان URL لدالة Kusto https://aka.ms/sentinel-ZscalerPrivateAccess-parser
جدول (جداول) Log Analytics ZPA_CL
دعم قواعد جمع البيانات غير مدعوم حاليًا
مدعومة من قبل Microsoft Corporation

عينات الاستعلام

كافة السجلات


ZPAEvent

| sort by TimeGenerated

إرشادات تثبيت المورد

إشعار

يعتمد موصل البيانات هذا على محلل يستند إلى وظيفة Kusto للعمل كما هو متوقع. اتبع هذه الخطوات لإنشاء الاسم المستعار لوظائف Kusto، ZPAEvent

إشعار

تم تطوير موصل البيانات هذا باستخدام إصدار Zscaler Private Access: 21.67.1

  1. تثبيت وإلحاق العامل ل Linux أو Windows

قم بتثبيت العامل على الخادم حيث تتم إعادة توجيه سجلات Zscaler Private Access.

يتم تجميع السجلات من Zscaler Private Access Server المنشورة على خوادم Linux أو Windows بواسطة وكلاء Linux أو Windows .

  1. تكوين السجلات ليتم جمعها

اتبع خطوات التكوين أدناه للحصول على سجلات Zscaler Private Access في Microsoft Sentinel. راجع وثائق Azure Monitor للحصول على مزيد من التفاصيل حول هذه الخطوات. يتم تسليم سجلات Zscaler Private Access عبر خدمة دفق السجل (LSS). راجع وثائق LSS للحصول على معلومات مفصلة

  1. تكوين أجهزة استقبال السجل. أثناء تكوين جهاز استقبال سجل، اختر JSONكقالب سجل.

  2. تنزيل ملف التكوين zpa.conf wget -v https://aka.ms/sentinel-zscalerprivateaccess-conf -O zpa.conf

  3. تسجيل الدخول إلى الخادم حيث قمت بتثبيت عامل Azure Log Analytics.

  4. انسخ zpa.conf إلى المجلد /etc/opt/microsoft/omsagent/workspace_id/conf/omsagent.d/.

  5. تحرير zpa.conf كما يلي:

    أ. حدد المنفذ الذي قمت بتعيين مستلمي سجل Zscaler لإعادة توجيه السجلات إليه (السطر 4)

    ب. يستخدم zpa.conf المنفذ 22033 بشكل افتراضي. تأكد من عدم استخدام هذا المنفذ من قبل أي مصدر آخر على الخادم

    جـ. إذا كنت ترغب في تغيير المنفذ الافتراضي ل zpa.conf فتأكد من أنه يجب ألا يتعارض مع منافذ عامل AMA الافتراضية على سبيل المثال(يستخدم CEF منفذ TCP 25226 أو 25224)

    د. استبدل workspace_id بالقيمة الحقيقية لمعرف مساحة العمل (الأسطر 14,15,16,19)

  6. حفظ التغييرات وإعادة تشغيل عامل Azure Log Analytics لخدمة Linux باستخدام الأمر التالي: sudo /opt/microsoft/omsagent/bin/service_control إعادة التشغيل

الخطوات التالية

لمزيد من المعلومات، انتقل إلى الحل ذي الصلة في Azure Marketplace.