Syslog prostřednictvím datového konektoru AMA – Konfigurace konkrétního zařízení nebo zařízení pro příjem dat v Microsoft Sentinelu

Shromažďování protokolů z mnoha bezpečnostních zařízení a zařízení podporuje Syslog prostřednictvím datového konektoru AMA v Microsoft Sentinelu. Tento článek uvádí pokyny k instalaci pro konkrétní bezpečnostní zařízení a zařízení, která používají tento datový konektor. Požádejte poskytovatele o aktualizace, další informace nebo informace o nedostupnosti vašeho zabezpečovacího zařízení nebo zařízení.

Pokud chcete předávat data do pracovního prostoru služby Log Analytics pro Microsoft Sentinel, proveďte kroky v Ingestování zpráv syslogu a CEF do Služby Microsoft Sentinel pomocí agenta služby Azure Monitor. Po dokončení těchto kroků nainstalujte Syslog prostřednictvím datového konektoru AMA v Microsoft Sentinelu. Potom pomocí pokynů příslušného poskytovatele v tomto článku dokončete nastavení.

Další informace o souvisejícím řešení Microsoft Sentinel pro každé z těchto zařízení nebo zařízení najdete v Azure Marketplace a vyhledejte šablony řešení typu>produktu nebo si projděte řešení z centra obsahu v Microsoft Sentinelu.

Barracuda CloudGen Firewall

Podle pokynů nakonfigurujte streamování syslogu. Pro počítač s Linuxem použijte IP adresu nebo název hostitele s nainstalovaným agentem Microsoft Sentinel pro cílovou IP adresu.

Blackberry CylancePROTECT

Podle těchto pokynů nakonfigurujte CylancePROTECT pro předávání syslogu. Použijte IP adresu nebo název hostitele pro zařízení s Linuxem s agentem Linuxu nainstalovaným jako cílovou IP adresu.

Cisco Application Centric Infrastructure (ACI)

Nakonfigurujte systém Cisco ACI tak, aby odesílal protokoly přes syslog na vzdálený server, na který nainstalujete agenta. Podle těchto kroků nakonfigurujte cíl syslogu, cílovou skupinu a zdroj Syslogu.

Tento datový konektor byl vyvinut pomocí Cisco ACI Release 1.x.

Cisco Identity Services Engine (ISE)

Podle těchto pokynů nakonfigurujte vzdálená umístění shromažďování syslogu v nasazení Cisco ISE.

Cisco Stealthwatch

Provedením následujících kroků konfigurace získáte protokoly Cisco Stealthwatch do Microsoft Sentinelu.

1. Přihlaste se ke konzole pro správu Stealthwatch (SMC) jako správce.

2. Na řádku nabídek vyberte Správa odpovědí konfigurace>.

3. V části Akce v nabídce Správa odpovědí vyberte Přidat > zprávu Syslog.

4. V okně Akce přidat zprávu Syslog nakonfigurujte parametry.

5. Zadejte následující vlastní formát:

   |Lancope|Stealthwatch|7.3|{alarm_type_id}|0x7C|src={source_ip}|dst={target_ip}|dstPort={port}|proto={protocol}|msg={alarm_type_description}|fullmessage={details}|start={start_active_time}|end={end_active_time}|cat={alarm_category_name}|alarmID={alarm_id}|sourceHG={source_host_group_names}|targetHG={target_host_group_names}|sourceHostSnapshot={source_url}|targetHostSnapshot={target_url}|flowCollectorName={device_name}|flowCollectorIP={device_ip}|domain={domain_name}|exporterName={exporter_hostname}|exporterIPAddress={exporter_ip}|exporterInfo={exporter_label}|targetUser={target_username}|targetHostname={target_hostname}|sourceUser={source_username}|alarmStatus={alarm_status}|alarmSev={alarm_severity_name}

6. V seznamu vyberte vlastní formát a ok.

7. Vyberte pravidla správy > odpovědí.

8. Vyberte Přidat a hostovat alarm.

9. Do pole Název zadejte název pravidla.

10. Vytvořte pravidla výběrem hodnot z nabídek Typ a Možnosti . Pokud chcete přidat další pravidla, vyberte ikonu se třemi tečky. V případě alarmu hostitele zkombinujte co nejvíce možných typů v příkazu.

Tento datový konektor byl vyvinut pomocí Cisco Stealthwatch verze 7.3.2

Cisco Unified Computing Systems (UCS)

Podle těchto pokynů nakonfigurujte Cisco UCS pro předávání syslogu. Použijte IP adresu nebo název hostitele pro zařízení s Linuxem s agentem Linuxu nainstalovaným jako cílovou IP adresu.

Poznámka:

Funkce tohoto datového konektoru je závislá na analyzátoru založeném na funkci Kusto, který je nedílnou součástí jeho operace. Tento analyzátor se nasadí jako součást instalace řešení.

Aktualizujte analyzátor a zadejte název hostitele zdrojových počítačů přenášených protokoly na prvním řádku analyzátoru.

Pokud chcete získat přístup k kódu funkce v Log Analytics, přejděte do části Protokoly Log Analytics nebo Microsoft Sentinelu, vyberte Funkce a vyhledejte alias CiscoUCS. Případně přímo načtěte kód funkce. Aktualizace může trvat přibližně 15 minut.

Cisco Web Security Appliance (WSA)

Nakonfigurujte Cisco tak, aby předával protokoly přes syslog na vzdálený server, na který nainstalujete agenta. Pokud chcete nakonfigurovat Cisco WSA pro předávání protokolů přes Syslog, postupujte podle těchto kroků .

Vyberte Syslog Push jako metodu načítání.

Tento datový konektor byl vyvinut pomocí AsyncOS 14.0 pro zařízení Cisco Web Security Appliance.

Citrix Application Delivery Controller (ADC)

Nakonfigurujte Citrix ADC (bývalý NetScaler) tak, aby předával protokoly přes Syslog.

1. Přejděte na kartu Konfigurace na kartě > Systémové > auditování > serverů Syslog > .
2. Zadejte název akce Syslog.
3. Nastavte IP adresu vzdáleného serveru a portu Syslogu.
4. Nastavte typ přenosu jako TCP nebo UDP v závislosti na konfiguraci vzdáleného serveru syslog.
5. Další informace najdete v dokumentaci k Citrix ADC (dříve NetScaler).

Poznámka:

Funkce tohoto datového konektoru je závislá na analyzátoru založeném na funkci Kusto, který je nedílnou součástí jeho operace. Tento analyzátor se nasadí jako součást instalace řešení. Pokud chcete získat přístup k kódu funkce v Log Analytics, přejděte do části Protokoly Služby Log Analytics nebo Microsoft Sentinelu, vyberte Funkce a vyhledejte alias CitrixADCEvent. Případně můžete kód funkce přímo načíst. Aktualizace může trvat přibližně 15 minut.

Tento analyzátor vyžaduje seznam ke zhlédnutí s názvem Sources_by_SourceType.

i. Pokud ještě nemáte vytvořený seznam ke zhlédnutí, vytvořte na webu Azure Portal seznam ke zhlédnutí z Microsoft Sentinelu.

ii. Otevřete seznam Sources_by_SourceType ke zhlédnutí a přidejte položky pro tento zdroj dat.

ii. Hodnota SourceType pro CitrixADC je CitrixADC. Další informace naleznete v tématu Správa analyzátorů ADVANCED Security Information Model (ASIM).

Ochrana před únikem informací služby Digital Guardian

Proveďte následující kroky a nakonfigurujte Digital Guardian tak, aby předával protokoly přes Syslog:

1. Přihlaste se ke konzole pro správu služby Digital Guardian.
2. Vyberte Možnost Export>dat pracovního prostoru>– Vytvořit export.
3. V seznamu Zdroje dat vyberte jako zdroj dat výstrahy nebo události.
4. V seznamu Typ exportu vyberte Syslog.
5. V seznamu Typ vyberte jako přenosový protokol UDP nebo TCP.
6. Do pole Server zadejte IP adresu vzdáleného serveru syslog.
7. Do pole Port zadejte 514 (nebo jiný port, pokud byl server syslog nakonfigurovaný tak, aby používal nedefaultní port).
8. V seznamu Úroveň závažnosti vyberte úroveň závažnosti.
9. Zaškrtněte políčko Je aktivní.
10. Vyberte Další.
11. Ze seznamu dostupných polí přidejte pole Výstraha nebo Událost pro export dat.
12. Vyberte kritéria pro pole v exportu dat a další.
13. Vyberte skupinu pro kritéria a další.
14. Vyberte testovací dotaz.
15. Vyberte Další.
16. Uložte export dat.

Integrace SPOLEČNOSTI ESET Protect

Nakonfigurujte ESET PROTECT tak, aby odesílala všechny události přes Syslog.

1. Podle těchto pokynů nakonfigurujte výstup syslogu. Nezapomeňte vybrat BSD jako formát a TCP jako přenos.
2. Pokud chcete exportovat všechny protokoly do syslogu, postupujte podle těchto pokynů . Jako výstupní formát vyberte JSON .

Exabeam Advanced Analytics

Podle těchto pokynů odešlete data protokolu aktivit Exabeam Advanced Analytics přes syslog.

Tento datový konektor byl vyvinut pomocí Exabeam Advanced Analytics i54 (Syslog).

Forescout

Pokud chcete získat protokoly Forescout do Služby Microsoft Sentinel, proveďte následující kroky.

1. Vyberte zařízení, které chcete konfigurovat.
2. Podle těchto pokynů předáte upozornění z platformy Forescout na server syslog.
3. Nakonfigurujte nastavení na kartě Triggery syslogu.

Tento datový konektor byl vyvinut pomocí verze modulu plug-in Forescout Syslog: v3.6

Gitlab

Podle těchto pokynů odešlete data protokolu auditu Gitlabu přes syslog.

Vazba ISC

1. Podle těchto pokynů nakonfigurujte vazbu ISC pro předávání syslogu: Protokoly DNS.
2. Nakonfigurujte syslog tak, aby odesílal provoz syslogu do agenta. Použijte IP adresu nebo název hostitele pro zařízení s Linuxem s agentem Linuxu nainstalovaným jako cílovou IP adresu.

Infoblox Network Identity Operating System (NIOS)

Podle těchto pokynů povolte předávání syslogu protokolů Infoblox NIOS. Použijte IP adresu nebo název hostitele pro zařízení s Linuxem s agentem Linuxu nainstalovaným jako cílovou IP adresu.

Poznámka:

Funkce tohoto datového konektoru je závislá na analyzátoru založeném na funkci Kusto, který je nedílnou součástí jeho operace. Tento analyzátor se nasadí jako součást instalace řešení.

Pokud chcete získat přístup k kódu funkce v Log Analytics, přejděte do části Protokoly Log Analytics nebo Microsoft Sentinelu, vyberte Funkce a vyhledejte alias Infoblox. Případně můžete kód funkce přímo načíst. Aktualizace může trvat přibližně 15 minut.

Tento analyzátor vyžaduje seznam ke zhlédnutí s názvem Sources_by_SourceType.

i. Pokud ještě nemáte vytvořený seznam ke zhlédnutí, vytvořte na webu Azure Portal seznam ke zhlédnutí z Microsoft Sentinelu.

ii. Otevřete seznam Sources_by_SourceType ke zhlédnutí a přidejte položky pro tento zdroj dat.

ii. Hodnota SourceType pro InfobloxNIOS je InfobloxNIOS.

Další informace naleznete v tématu Správa analyzátorů ADVANCED Security Information Model (ASIM).

Správa sjednocených koncových bodů Ivanti

Postupujte podle pokynů k nastavení akcí upozornění pro odesílání protokolů na server syslog.

Tento datový konektor byl vyvinut pomocí verze Ivanti Unified Endpoint Management verze 2021.1 verze 11.0.3.374

Juniper SRX

1. Podle následujících pokynů nakonfigurujte Juniper SRX pro předávání syslogu:

   • Protokoly provozu (protokoly zásad zabezpečení)
   • Systémové protokoly

2. Použijte IP adresu nebo název hostitele pro zařízení s Linuxem s agentem Linuxu nainstalovaným jako cílovou IP adresu.

McAfee Network Security Platform

Provedením následujících kroků konfigurace získáte protokoly McAfee® Network Security Platform do služby Microsoft Sentinel.

1. Přesměrovávat výstrahy od správce na server syslogu.

2. Musíte přidat profil oznámení syslogu. Pokud chcete při vytváření profilu zajistit správné formátování událostí, zadejte do textového pole Zpráva následující text:

   <SyslogAlertForwarderNSP>:|SENSOR_ALERT_UUID|ALERT_TYPE|ATTACK_TIME|ATTACK_NAME|ATTACK_ID |ATTACK_SEVERITY|ATTACK_SIGNATURE|ATTACK_CONFIDENCE|ADMIN_DOMAIN|SENSOR_NAME|INTERFACE |SOURCE_IP|SOURCE_PORT|DESTINATION_IP|DESTINATION_PORT|CATEGORY|SUB_CATEGORY |DIRECTION|RESULT_STATUS|DETECTION_MECHANISM|APPLICATION_PROTOCOL|NETWORK_PROTOCOL|

Tento datový konektor byl vyvinut pomocí platformy McAfee® Network Security Platform verze: 10.1.x.

McAfee ePolicy Orchestrator

Požádejte poskytovatele o pokyny k registraci serveru syslog.

Microsoft Sysmon pro Linux

Tento datový konektor závisí na analyzátorech ASIM založených na funkcích Kusto tak, aby fungovaly podle očekávání. Nasaďte analyzátory.

Nasazují se následující funkce:

• vimFileEventLinuxSysmonFileCreated, vimFileEventLinuxSysmonFileDeleted
• vimProcessCreateLinuxSysmon, vimProcessTerminateLinuxSysmon
• vimNetworkSessionLinuxSysmon

Další informace

Nasuni

Podle pokynů v průvodci konzolou pro správu Nasuni nakonfigurujte zařízení Nasuni Edge pro předávání událostí syslogu. Pro nastavení syslogu použijte IP adresu nebo název hostitele zařízení s Linuxem, na kterém běží agent Azure Monitor v poli Konfigurace serverů.

OpenVPN

Nainstalujte agenta na server, kde se přesměrovávají OpenVPN. Protokoly serveru OpenVPN se zapisují do běžného souboru syslogu (v závislosti na použité distribuci Linuxu, např. /var/log/messages).

Oracle Database Audit

Proveďte následující kroky.

1. Následujícím postupem vytvořte databázi Oracle.
2. Přihlaste se k databázi Oracle, kterou jste vytvořili. Postupujte podle těchto kroků.
3. Pokud chcete povolit jednotné protokolování přes syslog pomocí příkazu Alter systému, povolte jednotné protokolování Pomocí těchto kroků.
4. Vytvořte a povolte zásady auditu pro jednotné auditování, postupujte takto.
5. Povolení syslogu a Prohlížeč událostí Captures pro sjednocený záznam auditu postupujte takto.

Pulse Connect Secure

Podle pokynů povolte streamování syslogu protokolů Pulse Connect Secure. Použijte IP adresu nebo název hostitele pro zařízení s Linuxem s agentem Linuxu nainstalovaným jako cílovou IP adresu.

Poznámka:

Funkce tohoto datového konektoru je závislá na analyzátoru založeném na funkci Kusto, který je nedílnou součástí jeho operace. Tento analyzátor se nasadí jako součást instalace řešení.

Aktualizujte analyzátor a zadejte název hostitele zdrojových počítačů přenášených protokoly na prvním řádku analyzátoru.

Pokud chcete získat přístup k kódu funkce v Log Analytics, přejděte do části Protokoly Služby Log Analytics nebo Microsoft Sentinelu, vyberte Funkce a vyhledejte alias PulseConnectSecure. Případně přímo načtěte kód funkce. Aktualizace může trvat přibližně 15 minut.

RSA SecurID

Pokud chcete získat protokoly RSA® SecurID Authentication Manageru do Služby Microsoft Sentinel, proveďte následující kroky. Podle těchto pokynů předáte výstrahy ze Správce na server syslog.

Poznámka:

Funkce tohoto datového konektoru je závislá na analyzátoru založeném na funkci Kusto, který je nedílnou součástí jeho operace. Tento analyzátor se nasadí jako součást instalace řešení.

Aktualizujte analyzátor a zadejte název hostitele zdrojových počítačů přenášených protokoly na prvním řádku analyzátoru.

Pokud chcete získat přístup k kódu funkce v Log Analytics, přejděte do části Protokoly Log Analytics nebo Microsoft Sentinelu, vyberte Funkce a vyhledejte alias RSASecurIDAMEvent. Případně můžete kód funkce přímo načíst. Aktualizace může trvat přibližně 15 minut.

Tento datový konektor byl vyvinut pomocí RSA SecurID Authentication Manager verze: 8.4 a 8.5

Sophos XG Firewall

Pokud chcete povolit streamování syslogu, postupujte podle těchto pokynů . Použijte IP adresu nebo název hostitele pro zařízení s Linuxem s agentem Linuxu nainstalovaným jako cílovou IP adresu.

Poznámka:

Funkce tohoto datového konektoru je závislá na analyzátoru založeném na funkci Kusto, který je nedílnou součástí jeho operace. Tento analyzátor se nasadí jako součást instalace řešení.

Aktualizujte analyzátor a zadejte název hostitele zdrojových počítačů přenášených protokoly na prvním řádku analyzátoru. Pokud chcete získat přístup k kódu funkce v Log Analytics, přejděte do části Protokoly Log Analytics nebo Microsoft Sentinelu, vyberte Functions a vyhledejte alias SophosXGFirewall. Případně přímo načtěte kód funkce. Aktualizace může trvat přibližně 15 minut.

Symantec Endpoint Protection

Podle těchto pokynů nakonfigurujte aplikaci Symantec Endpoint Protection tak, aby předávala syslog. Použijte IP adresu nebo název hostitele pro zařízení s Linuxem s agentem Linuxu nainstalovaným jako cílovou IP adresu.

Poznámka:

Funkce tohoto datového konektoru je závislá na analyzátoru založeném na funkci Kusto, který je nedílnou součástí jeho operace. Tento analyzátor se nasadí jako součást instalace řešení.

Aktualizujte analyzátor a zadejte název hostitele zdrojových počítačů přenášených protokoly na prvním řádku analyzátoru. Pokud chcete získat přístup k kódu funkce v Log Analytics, přejděte do části Protokoly Log Analytics nebo Microsoft Sentinelu, vyberte Funkce a vyhledejte alias SymantecEndpointProtection. Případně můžete kód funkce přímo načíst. Aktualizace může trvat přibližně 15 minut.

Symantec ProxySG

1. Přihlaste se ke konzole pro správu Blue Coat.

2. Vyberte Formáty protokolování přístupu>konfigurace>.

3. Vyberte Nový.

4. Do pole Formát názvu zadejte jedinečný název.

5. Vyberte přepínač pro řetězec vlastního formátu a vložte do pole následující řetězec.

   1 $(date) $(time) $(time-taken) $(c-ip) $(cs-userdn) $(cs-auth-groups) $(x-exception-id) $(sc-filter-result) $(cs-categories) $(quot)$(cs(Referer))$(quot) $(sc-status) $(s-action) $(cs-method) $(quot)$(rs(Content-Type))$(quot) $(cs-uri-scheme) $(cs-host) $(cs-uri-port) $(cs-uri-path) $(cs-uri-query) $(cs-uri-extension) $(quot)$(cs(User-Agent))$(quot) $(s-ip) $(sr-bytes) $(rs-bytes) $(x-virus-id) $(x-bluecoat-application-name) $(x-bluecoat-application-operation) $(cs-uri-port) $(x-cs-client-ip-country) $(cs-threat-risk)

6. Vyberte OK.

7. Vyberte Použítn.

8. Podle těchto pokynů povolte streamování protokolů accessu syslog. Použijte IP adresu nebo název hostitele pro zařízení s Linuxem s agentem Linuxu nainstalovaným jako cílovou IP adresu.

Poznámka:

Funkce tohoto datového konektoru je závislá na analyzátoru založeném na funkci Kusto, který je nedílnou součástí jeho operace. Tento analyzátor se nasadí jako součást instalace řešení.

Aktualizujte analyzátor a zadejte název hostitele zdrojových počítačů přenášených protokoly na prvním řádku analyzátoru.

Pokud chcete získat přístup k kódu funkce v Log Analytics, přejděte do části Protokoly Log Analytics nebo Microsoft Sentinelu, vyberte Funkce a vyhledejte alias SymantecProxySG. Případně přímo načtěte kód funkce. Aktualizace může trvat přibližně 15 minut.

Symantec VIP

Podle těchto pokynů nakonfigurujte bránu Symantec VIP Enterprise Gateway pro předávání syslogu. Použijte IP adresu nebo název hostitele pro zařízení s Linuxem s agentem Linuxu nainstalovaným jako cílovou IP adresu.

Poznámka:

Funkce tohoto datového konektoru je závislá na analyzátoru založeném na funkci Kusto, který je nedílnou součástí jeho operace. Tento analyzátor se nasadí jako součást instalace řešení.

Aktualizujte analyzátor a zadejte název hostitele zdrojových počítačů přenášených protokoly na prvním řádku analyzátoru.

Pokud chcete získat přístup k kódu funkce v Log Analytics, přejděte do části Protokoly Služby Log Analytics nebo Microsoft Sentinelu, vyberte Funkce a vyhledejte alias SymantecVIP. Případně přímo načtěte kód funkce. Aktualizace může trvat přibližně 15 minut.

VMware ESXi

1. Podle těchto pokynů nakonfigurujte VMware ESXi pro předávání syslogu:

   • VMware ESXi 3.5 a 4.x
   • VMware ESXi 5.0 nebo novější

2. Použijte IP adresu nebo název hostitele pro zařízení s Linuxem s agentem Linuxu nainstalovaným jako cílovou IP adresu.

Poznámka:

Funkce tohoto datového konektoru je závislá na analyzátoru založeném na funkci Kusto, který je nedílnou součástí jeho operace. Tento analyzátor se nasadí jako součást instalace řešení.

Aktualizujte analyzátor a zadejte název hostitele zdrojových počítačů přenášených protokoly na prvním řádku analyzátoru.

Pokud chcete získat přístup k kódu funkce v Log Analytics, přejděte do části Protokoly Log Analytics nebo Microsoft Sentinelu, vyberte Funkce a vyhledejte alias VMwareESXi. Případně přímo načtěte kód funkce. Aktualizace může trvat přibližně 15 minut.

WatchGuard Firebox

Podle těchto pokynů odešlete data protokolu WatchGuard Fireboxu přes syslog.

Související obsah

• Ingestování zpráv syslogu a CEF do Služby Microsoft Sentinel pomocí agenta služby Azure Monitor
• Syslog prostřednictvím AMA a formátu CEF (Common Event Format) prostřednictvím konektorů AMA pro Microsoft Sentinel