Freigeben über

[Veraltet] Zscaler Private Access Connector für Microsoft Sentinel

  • Artikel

Wichtig

Die Protokollsammlung aus vielen Appliances und Geräten wird jetzt vom Common Event Format (CEF) über AMA, Syslog über AMA oder benutzerdefinierte Protokolle über den AMA-Datenconnector in Microsoft Sentinel unterstützt. Weitere Informationen finden Sie unter Suchen Ihres Microsoft Sentinel-Datenconnectors.

Der Zscaler Private Access-Datenconnector (ZPA) bietet die Möglichkeit, Zscaler Private Access-Ereignisse in Microsoft Sentinel zu erfassen. Weitere Informationen finden Sie in der Dokumentation zu Zscaler Private Access.

Dieser Inhalt wurde automatisch generiert. Wenden Sie sich im Zusammenhang mit Änderungen an den Lösungsanbieter.

Connectorattribute

Connectorattribut BESCHREIBUNG
Kusto-Funktionsalias ZPAEvent
URL der Kusto-Funktion https://aka.ms/sentinel-ZscalerPrivateAccess-parser
Log Analytics-Tabellen ZPA_CL
Unterstützung für Datensammlungsregeln Derzeit nicht unterstützt
Unterstützt von Microsoft Corporation

Abfragebeispiele

Alle Protokolle


ZPAEvent

| sort by TimeGenerated

Installationsanweisungen des Anbieters

Hinweis

Dieser Datenconnector ist von einem Parser abhängig, der auf einer Kusto-Funktion basiert und erwartungsgemäß funktionieren muss. Führen Sie diese Schritte aus, um den Kusto-Funktionsalias, ZPAEvent, zu erstellen.

Hinweis

Dieser Datenconnector wurde unter Verwendung von Zscaler Private Access-Version 21.67.1 entwickelt.

  1. Installieren und Integrieren des Agent für Linux oder Windows

Installieren Sie den Agent auf dem Server, auf dem die Zscaler Private Access-Protokolle weitergeleitet werden.

Protokolle vom Zscaler Private Access-Server, die auf Linux- oder Windows-Servern bereitgestellt werden, werden von Linux- oder Windows-Agents gesammelt.

  1. Konfigurieren der zu erfassenden Protokolle

Führen Sie die folgenden Konfigurationsschritte aus, um Zscaler Private Access-Protokolle in Microsoft Sentinel abzurufen. Weitere Informationen zu diesen Schritten finden Sie in der Azure Monitor-Dokumentation. Zscaler Private Access-Protokolle werden über LSS (Log Streaming Service, Protokollstreamingdienst) übermittelt. Ausführliche Informationen finden Sie in der Dokumentation zu LSS.

  1. Konfigurieren Sie Protokollempfänger. Wählen Sie beim Konfigurieren eines Protokollempfängers JSON als Protokollvorlage aus.

  2. Herunterladen der Konfigurationsdatei zpa.conf wget -v https://aka.ms/sentinel-zscalerprivateaccess-conf -O zpa.conf

  3. Melden Sie sich bei dem Server an, auf dem Sie den Azure Log Analytics-Agent installiert haben.

  4. Kopieren Sie zpa.conf in den Ordner /etc/opt/microsoft/omsagent/workspace_id/conf/omsagent.d/.

  5. Bearbeiten Sie die Datei „zpa.conf“ wie folgt:

    a. Geben Sie den Port an, den Sie als Ziel für die Protokollweiterleitung durch Ihre Zscaler-Protokollempfänger festgelegt haben (Zeile 4).

    b. zpa.conf verwendet standardmäßig den Port 22033. Stellen Sie sicher, dass dieser Port nicht von einer anderen Quelle auf Ihrem Server verwendet wird.

    c. Wenn Sie den Standardport für zpa.conf ändern möchten, stellen Sie sicher, dass er nicht mit den Standardports des AMA-Agents in Konflikt kommt (Beispielsweise verwendet CEF den TCP-Port 25226 oder 25224).

    d. Ersetzen Sie workspace_id durch den tatsächlichen Wert Ihrer Arbeitsbereichs-ID (Zeilen 14,15,16,19).

  6. Speichern Sie die Änderungen, und starten Sie den Azure Log Analytics-Agent für Linux mit dem folgenden Befehl neu: sudo /opt/microsoft/omsagent/bin/service_control restart.

Nächste Schritte

Weitere Informationen finden Sie in der entsprechenden Lösung im Azure Marketplace.