Elastic Agent-Connector (eigenständig) für Microsoft Sentinel

  • Artikel

Der Elastic Agent-Datenconnector bietet die Möglichkeit, Elastic Agent-Protokolle, -Metriken und -Sicherheitsdaten in Microsoft Sentinel zu erfassen.

Connectorattribute

Connectorattribut BESCHREIBUNG
Log Analytics-Tabellen ElasticAgentLogs_CL
Unterstützung für Datensammlungsregeln Derzeit nicht unterstützt
Unterstützt von Microsoft Corporation

Abfragebeispiele

Top 10 Geräte

ElasticAgentEvent

| summarize count() by DvcIpAddr

| top 10 by count_

Voraussetzungen

Stellen Sie für die Integration in Elastic Agent (eigenständig) Folgendes sicher:

  • Schließen Sie benutzerdefinierte Voraussetzungen ein, wenn dies für die Konnektivität erforderlich ist. Andernfalls löschen Sie benutzerdefinierte Einstellungen: Beschreibung für alle benutzerdefinierten Voraussetzungen

Installationsanweisungen des Anbieters

Hinweis

Dieser Datenconnector benötigt einen Parser auf der Basis einer Kusto-Funktion, um erwartungsgemäß zu funktionieren: ElasticAgentEvent. (Wird mit der Microsoft Sentinel-Lösung bereitgestellt.)

Hinweis

Dieser Datenconnector wurde mit Elastic Agent 7.14 entwickelt.

  1. Installieren und Integrieren des Agents für Linux oder Windows

Installieren Sie den Agent auf dem Server, an den die Elastic Agent-Protokolle weitergeleitet werden.

Protokolle von Elastic Agent-Instanzen, die auf Linux- oder Windows-Servern bereitgestellt werden, werden von Linux- oder Windows-Agents gesammelt.

  1. Konfigurieren von Elastic Agent (eigenständig)

Befolgen Sie die Anweisungen zum Konfigurieren von Elastic Agent für die Ausgabe in Logstash.

  1. Konfigurieren von Logstash für die Verwendung des Microsoft Logstash-Ausgabe-Plug-Ins

Führen Sie die Schritte zum Konfigurieren von Logstash für die Verwendung des Plug-Ins microsoft-logstash-output-azure-loganalytics aus:

3.1) Überprüfen Sie, ob das Plug-In bereits installiert ist:

./logstash-plugin list | grep "azure-loganalytics" (Wenn das Plug-In installiert ist, fahren Sie mit Schritt 3.3 fort.)

3.2) Installieren Sie das Plug-In:

./logstash-plugin install microsoft-logstash-output-azure-loganalytics

3.3) Konfigurieren Sie Logstash für die Verwendung des Plug-Ins.

  1. Überprüfen der Protokollerfassung

Folgen Sie den Anleitungen zum Überprüfen Ihrer Konnektivität:

Öffnen Sie Log Analytics, um mithilfe der in Schritt 3.3 angegebenen benutzerdefinierten Tabelle (z. B. ElasticAgentLogs_CL) zu überprüfen, ob die Protokolle empfangen werden.

Es kann ungefähr 30 Minuten dauern, bis Daten über die Verbindung in Ihren Arbeitsbereich gestreamt werden.

Nächste Schritte

Weitere Informationen finden Sie in der entsprechenden Lösung im Azure Marketplace.