Juniper IDP-Connector für Microsoft Sentinel

  • Artikel

Mit dem IDP-Datenconnector von Juniper können Juniper IDP-Ereignisse in Microsoft Sentinel erfasst werden.

Dieser Inhalt wurde automatisch generiert. Wenden Sie sich im Zusammenhang mit Änderungen an den Lösungsanbieter.

Connectorattribute

Connectorattribut BESCHREIBUNG
Log Analytics-Tabellen JuniperIDP_CL
Unterstützung für Datensammlungsregeln Derzeit nicht unterstützt
Unterstützt von Microsoft Corporation

Abfragebeispiele

Wichtigste 10 Clients (Quell-IP-Adresse)

JuniperIDP

| summarize count() by SrcIpAddr

| top 10 by count_

Installationsanweisungen des Anbieters

Hinweis

Dieser Datenconnector benötigt einen Parser auf der Basis einer Kusto-Funktion, um erwartungsgemäß zu funktionieren: JuniperIDP. (Wird zusammen mit der Microsoft Sentinel-Lösung bereitgestellt.)

Hinweis

Dieser Datenconnector unterstützt IDP OS 5.1 und höhere Versionen.

  1. Installieren und Integrieren des Agents für Linux oder Windows

Installieren Sie den Agent auf dem Server.

  1. Konfigurieren der zu erfassenden Protokolle

Führen Sie die folgenden Konfigurationsschritte aus, um Juniper IDP-Protokolle in Microsoft Sentinel zu übertragen. Mit dieser Konfiguration werden vom Juniper IDP-Modul generierte Ereignisse erweitert, um die Sichtbarkeit der Protokollquelleninformationen für Juniper IDP-Protokolle zu ermöglichen. Weitere Informationen zu diesen Schritten finden Sie in der Azure Monitor-Dokumentation.

  1. Laden Sie die Konfigurationsdatei juniper_idp.conf herunter.

  2. Melden Sie sich bei dem Server an, auf dem Sie den Azure Log Analytics-Agent installiert haben.

  3. Kopieren Sie die Datei „juniper_idp.conf“ in den Ordner „/etc/opt/microsoft/omsagent/Arbeitsbereichs-ID/conf/omsagent.d/“.

  4. Bearbeiten Sie die Datei „juniper_idp.conf“ wie folgt:

    i. Ändern Sie den Lauschport für den Empfang von Protokollen basierend auf Ihrer Konfiguration (Zeile 3).

    ii. Ersetzen Sie Arbeitsbereichs-ID durch den tatsächlichen Wert Ihrer Arbeitsbereichs-ID (Zeilen 58, 59, 60 und 63).

  5. Speichern Sie die Änderungen, und starten Sie den Azure Log Analytics-Agent für Linux mit dem folgenden Befehl neu: sudo /opt/microsoft/omsagent/bin/service_control restart

  6. Informationen zum Konfigurieren eines Syslog-Remoteziels finden Sie unter SRX Getting Started - Configure System Logging (Erste Schritte für SRX: Konfigurieren der Systemprotokollierung).

Nächste Schritte

Weitere Informationen finden Sie in der entsprechenden Lösung im Azure Marketplace.