Zscaler Private Access-Connector für Microsoft Sentinel
Der Zscaler Private Access-Datenconnector (ZPA) bietet die Möglichkeit, Zscaler Private Access-Ereignisse in Microsoft Sentinel zu erfassen. Weitere Informationen finden Sie in der Dokumentation zu Zscaler Private Access.
Dieser Inhalt wurde automatisch generiert. Wenden Sie sich im Zusammenhang mit Änderungen an den Lösungsanbieter.
Connectorattribute
| Connectorattribut | BESCHREIBUNG |
|---|---|
| Kusto-Funktionsalias | ZPAEvent |
| URL der Kusto-Funktion | https://aka.ms/sentinel-ZscalerPrivateAccess-parser |
| Log Analytics-Tabellen | ZPA_CL |
| Unterstützung für Datensammlungsregeln | Derzeit nicht unterstützt |
| Unterstützt von | Microsoft Corporation |
Abfragebeispiele
Alle Protokolle
ZPAEvent
| sort by TimeGenerated
Installationsanweisungen des Anbieters
Hinweis
Dieser Datenconnector ist von einem Parser abhängig, der auf einer Kusto-Funktion basiert und erwartungsgemäß funktionieren muss. Führen Sie diese Schritte aus, um den Kusto-Funktionsalias, ZPAEvent, zu erstellen.
Hinweis
Dieser Datenconnector wurde unter Verwendung von Zscaler Private Access-Version 21.67.1 entwickelt.
- Installieren und Integrieren des Agent für Linux oder Windows
Installieren Sie den Agent auf dem Server, auf dem die Zscaler Private Access-Protokolle weitergeleitet werden.
Protokolle vom Zscaler Private Access-Server, die auf Linux- oder Windows-Servern bereitgestellt werden, werden von Linux- oder Windows-Agents gesammelt.
- Konfigurieren der zu erfassenden Protokolle
Führen Sie die folgenden Konfigurationsschritte aus, um Zscaler Private Access-Protokolle in Microsoft Sentinel abzurufen. Weitere Informationen zu diesen Schritten finden Sie in der Azure Monitor-Dokumentation. Zscaler Private Access-Protokolle werden über LSS (Log Streaming Service, Protokollstreamingdienst) übermittelt. Ausführliche Informationen finden Sie in der Dokumentation zu LSS.
Konfigurieren Sie Protokollempfänger. Wählen Sie beim Konfigurieren eines Protokollempfängers JSON als Protokollvorlage aus.
Herunterladen der Konfigurationsdatei zpa.conf wget -v https://aka.ms/sentinel-zscalerprivateaccess-conf -O zpa.conf
Melden Sie sich auf dem Server an, auf dem Sie den Azure Log Analytics-Agent installiert haben.
Kopieren Sie zpa.conf in den Ordner /etc/opt/microsoft/omsagent/workspace_id/conf/omsagent.d/.
Bearbeiten Sie die Datei „zpa.conf“ wie folgt:
a. Geben Sie den Port an, den Sie als Ziel für die Protokollweiterleitung durch Ihre Zscaler-Protokollempfänger festgelegt haben (Zeile 4).
b. zpa.conf verwendet standardmäßig den Port 22033. Stellen Sie sicher, dass dieser Port nicht von einer anderen Quelle auf Ihrem Server verwendet wird.
c. Wenn Sie den Standardport für zpa.conf ändern möchten, stellen Sie sicher, dass er nicht mit den Standardports des AMA-Agents in Konflikt kommt (Beispielsweise verwendet CEF den TCP-Port 25226 oder 25224).
d. Ersetzen Sie workspace_id durch den tatsächlichen Wert Ihrer Arbeitsbereichs-ID (Zeilen 14,15,16,19).
Speichern Sie die Änderungen, und starten Sie den Azure Log Analytics-Agent für Linux mit dem folgenden Befehl neu: sudo /opt/microsoft/omsagent/bin/service_control restart.
Nächste Schritte
Weitere Informationen finden Sie in der entsprechenden Lösung im Azure Marketplace.