مشاركة عبر

CEF عبر موصل بيانات AMA - تكوين جهاز أو جهاز معين لاستيعاب بيانات Microsoft Sentinel

  • مقالة

يتم دعم جمع السجل من العديد من أجهزة الأمان والأجهزة بواسطة Common Event Format (CEF) عبر موصل بيانات AMA في Microsoft Sentinel. تسرد هذه المقالة إرشادات التثبيت التي يوفرها الموفر لأجهزة وأجهزة أمان معينة تستخدم موصل البيانات هذا. اتصل بالموفر للحصول على تحديثات أو مزيد من المعلومات أو إذا كانت المعلومات غير متوفرة لجهاز الأمان أو الجهاز.

لإعادة توجيه البيانات إلى مساحة عمل Log Analytics ل Microsoft Sentinel، أكمل الخطوات الواردة في Ingest syslog ورسائل CEF إلى Microsoft Sentinel باستخدام عامل Azure Monitor. أثناء إكمال هذه الخطوات، قم بتثبيت Common Event Format (CEF) عبر موصل بيانات AMA في Microsoft Sentinel. بعد ذلك، استخدم إرشادات الموفر المناسب في هذه المقالة لإكمال الإعداد.

لمزيد من المعلومات حول حل Microsoft Sentinel ذي الصلة لكل جهاز من هذه الأجهزة أو الأجهزة، ابحث في Azure Marketplace عن قوالب حل نوع>المنتج أو راجع الحل من مركز المحتوى في Microsoft Sentinel.

محلل الذكاء الاصطناعي Darktrace

تكوين Darktrace لإعادة توجيه رسائل syslog بتنسيق CEF إلى مساحة عمل Azure عبر عامل syslog.

  1. ضمن Darktrace Threat Visualizer، انتقل إلى صفحة تكوين النظام في القائمة الرئيسية ضمن مسؤول.
  2. من القائمة اليسرى، حدد Modules واختر Microsoft Sentinel من عمليات تكامل سير العمل المتوفرة.
  3. حدد موقع Microsoft Sentinel syslog CEF وحدد جديد للكشف عن إعدادات التكوين، ما لم يتم كشفه بالفعل.
  4. في حقل تكوين الخادم، أدخل موقع معاد توجيه السجل وقم بتعديل منفذ الاتصال اختياريًا. تأكد من تعيين المنفذ المحدد إلى 514 والسماح به من قبل أي جدران حماية وسيطة.
  5. قم بتكوين أي حدود تنبيه أو إزاحات زمنية أو إعدادات أخرى كما هو مطلوب.
  6. راجع أي خيارات تكوين أخرى قد ترغب في تمكينها لتغيير بناء جملة syslog.
  7. تمكين إرسال التنبيهات وحفظ التغييرات.

أحداث أمن Akamai

اتبع هذه الخطوات لتكوين موصل Akamai CEF لإرسال رسائل syslog بتنسيق CEF إلى جهاز الوكيل. تأكد من إرسال السجلات إلى المنفذ 514 TCP على عنوان IP للجهاز.

AristaAwakeSecurity

أكمل الخطوات التالية لإعادة توجيه نموذج الخصومة اليقظة مطابقة النتائج إلى مجمع CEF يستمع على منفذ TCP 514 في IP 192.168.0.1:

  1. انتقل إلى صفحة مهارات إدارة الكشف في واجهة المستخدم اليقظة.
  2. حدد + إضافة مهارة جديدة.
  3. تعيين التعبير إلى integrations.cef.tcp { destination: "192.168.0.1", port: 514, secure: false, severity: Warning }
  4. تعيين العنوان إلى اسم وصفي مثل، إعادة توجيه نموذج المتطفل اليقظة مطابقة نتيجة ل Microsoft Sentinel.
  5. تعيين معرف المرجع إلى شيء يمكن اكتشافه بسهولة مثل integrations.cef.sentinel-forwarder.
  6. حدد حفظ.

في غضون بضع دقائق من حفظ التعريف والحقول الأخرى، يبدأ النظام في إرسال نتائج مطابقة نموذج جديد إلى مجمع أحداث CEF عند اكتشافها.

لمزيد من المعلومات، راجع صفحة إضافة معلومات الأمان وتكامل دفع إدارة الأحداث من وثائق التعليمات في واجهة المستخدم اليقظة.

Aruba ClearPass

تكوين Aruba ClearPass لإعادة توجيه رسائل syslog بتنسيق CEF إلى مساحة عمل Microsoft Sentinel عبر عامل syslog.

  1. اتبع هذه الإرشادات لتكوين Aruba ClearPass لإعادة توجيه سجل النظام.
  2. استخدم عنوان IP أو اسم المضيف لجهاز Linux مع تثبيت عامل Linux كعنوان IP الوجهة.

جدار حملية تطبيقات الويب في Barracuda

يمكن ل Barracuda Web Application Firewall التكامل مع السجلات وتصديرها مباشرة إلى Microsoft Sentinel عبر عامل مراقبة Azure (AMA).

  1. انتقل إلى تكوين Barracuda WAF، واتبع الإرشادات، باستخدام المعلمات التالية لإعداد الاتصال.

  2. مرفق سجلات جدار حماية الويب: انتقل إلى الإعدادات المتقدمة لمساحة العمل الخاصة بك وعلى علامات تبويب Data>Syslog . تأكد من وجود المرفق.

لاحظ أن البيانات من جميع المناطق مخزنة في مساحة العمل المحددة.

Broadcom SymantecDLP

تكوين Symantec DLP لإعادة توجيه رسائل syslog بتنسيق CEF إلى مساحة عمل Microsoft Sentinel عبر عامل syslog.

  1. اتبع هذه الإرشادات لتكوين Symantec DLP لإعادة توجيه syslog
  2. استخدم عنوان IP أو اسم المضيف لجهاز Linux مع تثبيت عامل Linux كعنوان IP الوجهة.

Cisco Firepower EStreamer

قم بتثبيت وتكوين عميل Firepower eNcore eStreamer. لمزيد من المعلومات، راجع دليل التثبيت الكامل.

CiscoSEG

أكمل الخطوات التالية لتكوين Cisco Secure Email Gateway لإعادة توجيه السجلات عبر syslog:

  1. تكوين اشتراك السجل.
  2. حدد سجلات الأحداث الموحدة في حقل نوع السجل.

جدار حماية Citrix Web App

تكوين Citrix WAF لإرسال رسائل syslog بتنسيق CEF إلى جهاز الوكيل.

  • ابحث عن أدلة لتكوين سجلات WAF وCEF من دعم Citrix.

  • اتبع هذا الدليل لإعادة توجيه السجلات إلى الوكيل. تأكد من إرسال السجلات إلى المنفذ 514 TCP على عنوان IP لجهاز Linux.

كلاروتي

تكوين إعادة توجيه السجل باستخدام CEF.

  1. انتقل إلى قسم Syslog من قائمة التكوين.
  2. حدد + Add.
  3. في مربع الحوار Add New Syslog حدد Remote Server IP, Port, Protocol.
  4. حدد تنسيق - الرسالة CEF.
  5. اختر حفظ للخروج من مربع الحوار إضافة Syslog.

حماية التباين

قم بتكوين عامل Contrast Protect لإعادة توجيه الأحداث إلى syslog كما هو موضح هنا: https://docs.contrastsecurity.com/en/output-to-syslog.html. إنشاء بعض أحداث الهجوم للتطبيق الخاص بك.

صقر CrowdStrike

انشر CrowdStrike Falcon SIEM Collector لإعادة توجيه رسائل syslog بتنسيق CEF إلى مساحة عمل Microsoft Sentinel عبر عامل syslog.

  1. اتبع هذه الإرشادات لنشر SIEM Collector وإعادة توجيه syslog.
  2. استخدم عنوان IP أو اسم المضيف لجهاز Linux مع تثبيت عامل Linux كعنوان IP الوجهة.

أحداث CyberArk Enterprise Password Vault (EPV)

في EPV، قم بتكوين dbparm.ini لإرسال رسائل syslog بتنسيق CEF إلى جهاز الوكيل. تأكد من إرسال السجلات إلى المنفذ 514 TCP على عنوان IP للأجهزة.

Delinea Secret Server

قم بتعيين حل الأمان لإرسال رسائل syslog بتنسيق CEF إلى جهاز الوكيل. تأكد من إرسال السجلات إلى المنفذ 514 TCP على عنوان IP للجهاز.

ExtraHop Reveal(x)

قم بتعيين حل الأمان لإرسال رسائل syslog بتنسيق CEF إلى جهاز الوكيل. تأكد من إرسال السجلات إلى المنفذ 514 TCP على عنوان IP للجهاز.

  1. اتبع التوجيهات لتثبيت حزمة موصل SIEM للكشف عن ExtraHop على نظام الكشف (x). موصل SIEM مطلوب لهذا التكامل.
  2. تمكين مشغل موصل SIEM للكشف عن ExtraHop - CEF.
  3. قم بتحديث المشغل بأهداف ODS syslog التي قمت بإنشائها. 

يقوم النظام Reveal(x) بتنسيق رسائل syslog بتنسيق الحدث الشائع (CEF) ثم يرسل البيانات إلى Microsoft Sentinel.

شبكات F5

تكوين F5 لإعادة توجيه رسائل syslog بتنسيق CEF إلى مساحة عمل Microsoft Sentinel عبر عامل syslog.

انتقل إلى F5 Configuring Application Security Event Logging، واتبع الإرشادات لإعداد التسجيل عن بعد، باستخدام الإرشادات التالية:

  1. تعيين نوع التخزين البعيد إلى CEF.
  2. تعيين إعداد البروتوكول إلى UDP.
  3. تعيين عنوان IP إلى عنوان IP لخادم syslog.
  4. قم بتعيين رقم المنفذ إلى 514، أو المنفذ الذي يستخدمه وكيلك.
  5. قم بتعيين المرفق إلى المرفق الذي قمت بتكوينه في عامل syslog. بشكل افتراضي، يقوم العامل بتعيين هذه القيمة إلى local4.
  6. يمكنك تعيين الحد الأقصى لحجم سلسلة الاستعلام ليكون هو نفسه الذي قمت بتكوينه.

FireEye Network Security

أكمل الخطوات التالية لإرسال البيانات باستخدام CEF:

  1. سجل الدخول إلى جهاز FireEye باستخدام حساب مسؤول.

  2. حدد الإعدادات.

  3. حدد الإعلامات. حدد rsyslog.

  4. حدد خانة الاختيار نوع الحدث.

  5. تأكد من أن إعدادات Rsyslog هي:

    • التنسيق الافتراضي: CEF
    • التسليم الافتراضي: لكل حدث
    • الإرسال الافتراضي ك: تنبيه

Forcepoint CASB

قم بتعيين حل الأمان لإرسال رسائل syslog بتنسيق CEF إلى جهاز الوكيل. تأكد من إرسال السجلات إلى المنفذ 514 TCP على عنوان IP للجهاز.

Forcepoint CSG

يتم توفير التكامل مع خيارين للتنفيذ:

  1. يستخدم صور docker حيث تم تثبيت مكون التكامل بالفعل مع جميع التبعيات الضرورية. اتبع الإرشادات الواردة في دليل التكامل.
  2. يتطلب النشر اليدوي لمكون التكامل داخل جهاز Linux نظيف. اتبع الإرشادات الواردة في دليل التكامل.

Forcepoint NGFW

قم بتعيين حل الأمان لإرسال رسائل syslog بتنسيق CEF إلى جهاز الوكيل. تأكد من إرسال السجلات إلى المنفذ 514 TCP على عنوان IP للجهاز.

مراجعة الحسابات المشتركة ل ForgeRock ل CEF

في ForgeRock، قم بتثبيت وتكوين هذا التدقيق الشائع (CAUD) ل Microsoft Sentinel وفقا للوثائق في https://github.com/javaservlets/SentinelAuditEventHandler. بعد ذلك، في Azure، اتبع الخطوات لتكوين CEF عبر موصل بيانات AMA.

iboss

قم بتعيين وحدة تحكم التهديد لإرسال رسائل syslog بتنسيق CEF إلى مساحة عمل Azure. دون معرف مساحة العمل والمفتاح الأساسي داخل مساحة عمل Log Analytics. حدد مساحة العمل من قائمة Log Analytics workspaces في مدخل Azure. ثم حدد Agents management في قسم Settings.

  1. انتقل إلى Reporting & Analytics داخل iboss Console.
  2. حدد Log Forwarding>Forward from Reporter.
  3. حدد Actions>Add Service.
  4. قم بالتبديل إلى Microsoft Sentinel كنوع خدمة وأدخل معرف مساحة العمل/المفتاح الأساسي جنبا إلى جنب مع معايير أخرى. إذا تم تكوين جهاز Linux وكيل مخصص، قم بالتبديل إلى Syslog كنوع خدمة وقم بتكوين الإعدادات للإشارة إلى جهاز Linux الوكيل المخصص.
  5. انتظر دقيقة إلى دقيقتين حتى يكتمل الإعداد.
  6. حدد خدمة Microsoft Sentinel وتحقق من نجاح حالة إعداد Microsoft Sentinel. إذا تم تكوين جهاز Linux وكيل مخصص، فقد تتحقق من صحة اتصالك.

Illumio Core

تكوين تنسيق الحدث.

  1. من قائمة وحدة تحكم الويب PCE، اختر إعدادات > إعدادات الأحداث لعرض الإعدادات الحالية.
  2. حدد تحرير لتغيير الإعدادات.
  3. تعيين تنسيق الحدث إلى CEF.
  4. (اختياري) تكوين خطورة الحدث وفترة الاستبقاء.

تكوين إعادة توجيه الحدث إلى خادم syslog خارجي.

  1. من قائمة وحدة تحكم الويب PCE، اختر إعدادات>إعدادات الأحداث.
  2. حدد إضافة.
  3. حدد Add Repository.
  4. أكمل مربع الحوار Add Repository.
  5. حدد OK لحفظ تكوين إعادة توجيه الحدث.

منصة Illusive

  1. قم بتعيين حل الأمان لإرسال رسائل syslog بتنسيق CEF إلى جهاز الوكيل. تأكد من إرسال السجلات إلى المنفذ 514 TCP على عنوان IP للجهاز.

  2. سجل الدخول إلى Illusive Console، وانتقل إلى Settings>Reporting.

  3. ابحث عن Syslog Servers.

  4. قم بتوفير المعلومات التالية:

    • اسم المضيف: عنوان IP لعامل Linux Syslog أو اسم مضيف FQDN
    • المنفذ: 514
    • Protocol: TCP
    • رسائل التدقيق: إرسال رسائل التدقيق إلى الخادم

  5. لإضافة خادم syslog، حدد Add.

لمزيد من المعلومات حول كيفية إضافة خادم syslog جديد في النظام الأساسي Illusive، ابحث عن دليل مسؤول Illusive Networks هنا: https://support.illusivenetworks.com/hc/en-us/sections/360002292119-Documentation-by-Version

بوابة Imperva WAF

يتطلب هذا الموصل إنشاء واجهة إجراء ومجموعة إجراءات على Imperva SecureSphere MX. اتبع الخطوات لإنشاء المتطلبات.

  1. إنشاء واجهة إجراء جديدة تحتوي على المعلمات المطلوبة لإرسال تنبيهات WAF إلى Microsoft Sentinel.
  2. إنشاء مجموعة إجراءات جديدة تستخدم واجهة الإجراء المكونة.
  3. قم بتطبيق مجموعة الإجراءات على أي نهج أمان ترغب في الحصول على تنبيهات لإرسالها إلى Microsoft Sentinel.

Infoblox Cloud Data Connector

أكمل الخطوات التالية لتكوين Infoblox CDC لإرسال بيانات BloxOne إلى Microsoft Sentinel عبر عامل Linux syslog.

  1. انتقل إلى إدارة>موصل البيانات.
  2. حدد علامة التبويب تكوين الوجهة في الأعلى.
  3. حدد Create > Syslog.
    • الاسم: امنح الوجهة الجديدة اسما ذا معنى، مثل Microsoft-Sentinel-Destination.
    • الوصف: أعطه وصفا ذا معنى اختياريا.
    • الحالة: تعيين الحالة إلى ممكن.
    • التنسيق: تعيين التنسيق إلى CEF.
    • FQDN/IP: أدخل عنوان IP لجهاز Linux الذي تم تثبيت عامل Linux عليه.
    • المنفذ: اترك رقم المنفذ عند 514.
    • البروتوكول: حدد البروتوكول المطلوب وشهادة المرجع المصدق إذا كان ذلك ممكنا.
    • حدد حفظ وإغلاق.
  4. حدد علامة التبويب Traffic Flow Configuration في الأعلى.
  5. حدد إنشاء.
    • الاسم: امنح تدفق حركة المرور الجديد اسما ذا معنى، مثل Microsoft-Sentinel-Flow.
    • الوصف: أعطه وصفا ذا معنى اختياريا.
    • الحالة: تعيين الحالة إلى ممكن.
    • قم بتوسيع قسم مثيل الخدمة.
      • مثيل الخدمة: حدد مثيل الخدمة المطلوب الذي تم تمكين خدمة موصل البيانات له.
    • قم بتوسيع قسم تكوين المصدر.
      • المصدر: حدد BloxOne Cloud Source.
      • حدد جميع أنواع السجلات المطلوبة التي ترغب في جمعها. أنواع السجلات المدعومة حاليا هي:
        • استعلام الدفاع عن التهديدات/سجل الاستجابة
        • سجل مرات الوصول إلى موجزات تهديدات الدفاع عن التهديدات
        • استعلام DDI/سجل الاستجابة
        • سجل تأجير DDI DHCP
    • قم بتوسيع قسم تكوين الوجهة.
      • حدد الوجهة التي أنشأتها.
    • حدد حفظ وإغلاق.
  6. اسمح للتكوين بتنشيط بعض الوقت.

Infoblox SOC Insights

أكمل الخطوات التالية لتكوين Infoblox CDC لإرسال بيانات BloxOne إلى Microsoft Sentinel عبر عامل Linux syslog.

  1. انتقل إلى إدارة > موصل البيانات.
  2. حدد علامة التبويب تكوين الوجهة في الأعلى.
  3. حدد Create > Syslog.
    • الاسم: امنح الوجهة الجديدة اسما ذا معنى، مثل Microsoft-Sentinel-Destination.
    • الوصف: أعطه وصفا ذا معنى اختياريا.
    • الحالة: تعيين الحالة إلى ممكن.
    • التنسيق: تعيين التنسيق إلى CEF.
    • FQDN/IP: أدخل عنوان IP لجهاز Linux الذي تم تثبيت عامل Linux عليه.
    • المنفذ: اترك رقم المنفذ عند 514.
    • البروتوكول: حدد البروتوكول المطلوب وشهادة المرجع المصدق إذا كان ذلك ممكنا.
    • حدد حفظ وإغلاق.
  4. حدد علامة التبويب Traffic Flow Configuration في الأعلى.
  5. حدد إنشاء.
    • الاسم: امنح تدفق حركة المرور الجديد اسما ذا معنى، مثل Microsoft-Sentinel-Flow.
    • الوصف: أعطه وصفا ذا معنى اختياريا.
    • الحالة: تعيين الحالة إلى ممكن.
    • قم بتوسيع قسم مثيل الخدمة.
      • مثيل الخدمة: حدد مثيل الخدمة المطلوب الذي تم تمكين خدمة موصل البيانات له.
    • قم بتوسيع قسم تكوين المصدر.
      • المصدر: حدد BloxOne Cloud Source.
      • حدد نوع سجل الإعلامات الداخلية.
    • قم بتوسيع قسم تكوين الوجهة.
      • حدد الوجهة التي أنشأتها.
    • حدد حفظ وإغلاق.
  6. اسمح للتكوين بتنشيط بعض الوقت.

KasperskySecurityCenter

اتبع الإرشادات لتكوين تصدير الحدث من مركز أمان Kaspersky.

التحويل التدريجي

قم بتعيين حل الأمان لإرسال رسائل syslog بتنسيق CEF إلى جهاز الوكيل. تأكد من إرسال السجلات إلى المنفذ 514 TCP على عنوان IP للجهاز.

مدقق Netwrix

اتبع الإرشادات لتكوين تصدير الحدث من Netwrix Auditor.

NozomiNetworks

أكمل الخطوات التالية لتكوين جهاز Nozomi Networks لإرسال التنبيهات والتدقيق وسجلات الصحة عبر syslog بتنسيق CEF:

  1. سجل الدخول إلى وحدة تحكم Guardian.
  2. انتقل إلى تكامل بيانات الإدارة>.
  3. حدد + Add.
  4. حدد Common Event Format (CEF) من القائمة المنسدلة.
  5. إنشاء نقطة نهاية جديدة باستخدام معلومات المضيف المناسبة.
  6. تمكين التنبيهات وسجلات التدقيق والسجلات الصحية لإرسالها.

منصة Onapsis

راجع تعليمات Onapsis داخل المنتج لإعداد إعادة توجيه السجل إلى عامل syslog.

  1. انتقل إلى Setup>Third-party integrations>Defend Alarms واتبع الإرشادات الخاصة ب Microsoft Sentinel.

  2. تأكد من أن وحدة تحكم Onapsis الخاصة بك يمكنها الوصول إلى جهاز الوكيل حيث تم تثبيت العامل. يجب إرسال السجلات إلى المنفذ 514 باستخدام TCP.

OSSEC

اتبع هذه الخطوات لتكوين إرسال OSSEC للتنبيهات عبر syslog.

Palo Alto - XDR (Cortex)

تكوين Palo Alto XDR (Cortex) لإعادة توجيه الرسائل بتنسيق CEF إلى مساحة عمل Microsoft Sentinel عبر عامل syslog.

  1. انتقل إلى إعدادات وتكوينات Cortex.
  2. حدد لإضافة خادم جديد ضمن التطبيقات الخارجية.
  3. ثم حدد الاسم وأعط عنوان IP العام لخادم syslog في الوجهة.
  4. امنح رقم المنفذ ك 514.
  5. من حقل Facility ، حدد FAC_SYSLOG من القائمة المنسدلة.
  6. حدد Protocol ك UDP.
  7. حدد إنشاء.

PaloAlto-PAN-OS

تكوين Palo Alto Networks لإعادة توجيه رسائل syslog بتنسيق CEF إلى مساحة عمل Microsoft Sentinel عبر عامل syslog.

  1. انتقل إلى تكوين شبكات Palo Alto NGFW لإرسال أحداث CEF.

  2. انتقل إلى Palo Alto CEF Configuration و Palo Alto Configure Syslog Monitoring steps 2, 3، واختر الإصدار الخاص بك، واتبع الإرشادات باستخدام الإرشادات التالية:

    1. تعيين تنسيق خادم Syslog إلى BSD.
    2. انسخ النص إلى محرر وأزل أي أحرف قد تكسر تنسيق السجل قبل لصقه. قد تؤدي عمليات النسخ/اللصق من ملف PDF إلى تغيير النص وإدراج أحرف عشوائية.

معرفة المزيد

PaloAltoCDL

اتبع الإرشادات لتكوين إعادة توجيه السجلات من Cortex Data Lake إلى syslog Server.

PingFederate

اتبع هذه الخطوات لتكوين PingFederate إرسال سجل التدقيق عبر syslog بتنسيق CEF.

أمان التلال

تكوين RidgeBot لإعادة توجيه الأحداث إلى خادم syslog كما هو موضح هنا. إنشاء بعض أحداث الهجوم للتطبيق الخاص بك.

جدار حماية SonicWall

قم بتعيين جدار حماية SonicWall لإرسال رسائل syslog بتنسيق CEF إلى جهاز الوكيل. تأكد من إرسال السجلات إلى المنفذ 514 TCP على عنوان IP للجهاز.

اتبع الإرشادات. ثم تأكد من تحديد الاستخدام المحلي 4 كمرفق. ثم حدد ArcSight بتنسيق syslog.

Trend Micro Apex One

اتبع هذه الخطوات لتكوين Apex Central لإرسال التنبيهات عبر syslog. أثناء التكوين، في الخطوة 6، حدد تنسيق السجل CEF.

Trend Micro Deep Security

قم بتعيين حل الأمان لإرسال رسائل syslog بتنسيق CEF إلى جهاز الوكيل. تأكد من إرسال السجلات إلى المنفذ 514 TCP على عنوان IP للجهاز.

  1. إعادة توجيه أحداث Trend Micro Deep Security إلى عامل syslog.
  2. حدد تكوين syslog جديد يستخدم تنسيق CEF عن طريق الرجوع إلى مقالة المعرفة هذه للحصول على معلومات إضافية.
  3. قم بتكوين Deep Security Manager لاستخدام هذا التكوين الجديد لإعادة توجيه الأحداث إلى عامل syslog باستخدام هذه الإرشادات.
  4. تأكد من حفظ الدالة TrendMicroDeepSecurity بحيث يستعلم عن بيانات Trend Micro Deep Security بشكل صحيح.

Trend Micro TippingPoint

قم بتعيين TippingPoint SMS لإرسال رسائل syslog بتنسيق ArcSight CEF Format v4.2 إلى جهاز الوكيل. تأكد من إرسال السجلات إلى المنفذ 514 TCP على عنوان IP للجهاز.

وحدة تحكم تطبيق vArmour

إرسال رسائل syslog بتنسيق CEF إلى جهاز الوكيل. تأكد من إرسال السجلات إلى المنفذ 514 TCP على عنوان IP للجهاز.

قم بتنزيل دليل المستخدم من https://support.varmour.com/hc/en-us/articles/360057444831-vArmour-Application-Controller-6-0-User-Guide. في دليل المستخدم، راجع "تكوين Syslog للمراقبة والانتهاكات" واتبع الخطوات من 1 إلى 3.

الكشف عن vectra الذكاء الاصطناعي

تكوين عامل Vectra (X Series) لإعادة توجيه رسائل syslog بتنسيق CEF إلى مساحة عمل Microsoft Sentinel عبر عامل syslog.

من واجهة مستخدم Vectra، انتقل إلى الإعدادات الإعلامات > وتحرير تكوين syslog. اتبع الإرشادات أدناه لإعداد الاتصال:

  1. أضف وجهة جديدة (وهي المضيف حيث يتم تشغيل عامل syslog Microsoft Sentinel).
  2. تعيين المنفذ على 514.
  3. تعيين البروتوكول ك UDP.
  4. تعيين التنسيق إلى CEF.
  5. تعيين أنواع السجلات. حدد كافة أنواع السجلات المتوفرة.
  6. حدد على Save.
  7. حدد الزر Test لإرسال بعض أحداث الاختبار.

لمزيد من المعلومات، راجع دليل Cognito Detect Syslog، والذي يمكن تنزيله من صفحة المورد في Detect UI.

فوتيرو

تعيين نقاط نهاية Votiro لإرسال رسائل syslog بتنسيق CEF إلى جهاز إعادة التوجيه. تأكد من إرسال السجلات إلى المنفذ 514 TCP على عنوان IP لجهاز إعادة التوجيه.

WireX Network Forensics Platform

اتصل بدعم WireX (https://wirexsystems.com/contact-us/) لتكوين حل NFP لإرسال رسائل syslog بتنسيق CEF إلى جهاز الوكيل. تأكد من أن المدير المركزي يمكنه إرسال السجلات إلى المنفذ 514 TCP على عنوان IP للجهاز.

WithSecure Elements عبر Connector

قم بتوصيل جهاز WithSecure Elements Connector ب Microsoft Sentinel. يسمح لك موصل بيانات WithSecure Elements Connector بتوصيل سجلات WithSecure Elements بسهولة مع Microsoft Sentinel، لعرض لوحات المعلومات، وإنشاء تنبيهات مخصصة، وتحسين التحقيق.

إشعار

يتم تخزين البيانات في الموقع الجغرافي لمساحة العمل التي تقوم بتشغيل Microsoft Azure Sentinel عليها.

تكوين مع موصل العناصر الآمنة لإعادة توجيه رسائل syslog بتنسيق CEF إلى مساحة عمل Log Analytics عبر عامل syslog.

  1. حدد أو أنشئ جهاز Linux ل Microsoft Sentinel لاستخدامه كوكيل بين حل WithSecurity وMicrosoft Sentinel. يمكن أن يكون الجهاز بيئة محلية أو Microsoft Azure أو بيئة أخرى مستندة إلى السحابة. يجب أن يكون Linux syslog-ng مثبتا ومثبتا/pythonpython3.
  2. قم بتثبيت عامل مراقبة Azure (AMA) على جهاز Linux الخاص بك وتكوين الجهاز للاستماع إلى المنفذ الضروري وإعادة توجيه الرسائل إلى مساحة عمل Microsoft Sentinel. يجمع مجمع CEF رسائل CEF على المنفذ 514 TCP. يجب أن يكون لديك أذونات عالية المستوى (sudo) على جهازك.
  3. انتقل إلى EPP في بوابة عناصر WithSecure. ثم انتقل إلى التنزيلات. في قسم Elements Connector ، حدد Create subscription key. يمكنك التحقق من مفتاح الاشتراك في الاشتراكات.
  4. في قسم التنزيلات في WithSecure Elements Connector ، حدد المثبت الصحيح وقم بتنزيله.
  5. عند الدخول إلى EPP، افتح إعدادات الحساب من الزاوية العلوية اليسرى. ثم حدد Get management API key. إذا تم إنشاء المفتاح في وقت سابق، يمكن قراءته هناك أيضا.
  6. لتثبيت موصل العناصر، اتبع مستندات موصل العناصر.
  7. إذا لم يتم تكوين الوصول إلى واجهة برمجة التطبيقات أثناء التثبيت، فاتبع تكوين الوصول إلى واجهة برمجة التطبيقات لموصل العناصر.
  8. انتقل إلى EPP، ثم ملفات التعريف، ثم استخدم للموصل حيث يمكنك رؤية ملفات تعريف الموصل. إنشاء ملف تعريف جديد (أو تحرير ملف تعريف موجود ليس للقراءة فقط). في إعادة توجيه الحدث، قم بتمكينه. تعيين عنوان نظام SIEM: 127.0.0.1:514. تعيين التنسيق إلى Common Event Format. البروتوكول هو TCP. احفظ ملف التعريف وقم بتعيينه إلى موصل العناصر في علامة التبويب الأجهزة .
  9. لاستخدام المخطط ذي الصلة في Log Analytics لموصل WithSecure Elements، ابحث عن CommonSecurityLog.
  10. تابع التحقق من صحة اتصال CEF الخاص بك.

Zscaler

قم بتعيين منتج Zscaler لإرسال رسائل syslog بتنسيق CEF إلى عامل syslog الخاص بك. تأكد من إرسال السجلات على المنفذ 514 TCP.

لمزيد من المعلومات، راجع دليل تكامل Zscaler Microsoft Sentinel.

المحتوى ذو الصلة