CEF via le connecteur de données AMA – Configurer une appliance ou un appareil spécifique pour l’ingestion des données Microsoft Sentinel
La collecte de journaux à partir de nombreuses appliances et appareils de sécurité est prise en charge par le format d’événement commun (CEF) via le connecteur de données AMA dans Microsoft Sentinel. Cet article répertorie les instructions d’installation fournies par le fournisseur pour des appliances de sécurité et des appareils spécifiques qui utilisent ce connecteur de données. Contactez le fournisseur pour obtenir des mises à jour, plus d’informations ou où les informations ne sont pas disponibles pour votre appliance de sécurité ou appareil.
Pour ingérer des données dans votre espace de travail Log Analytique pour Microsoft Sentinel, suivez les étapes de l’ingestion des messages syslog et CEF à Microsoft Sentinel avec l’agent Azure Monitor. Ces étapes incluent l’installation du Common Event Format (CEF) via le connecteur de données AMA dans Microsoft Sentinel. Une fois le connecteur installé, utilisez les instructions appropriées pour votre appareil, présentées plus loin dans cet article, pour terminer l’installation.
Pour plus d’informations sur la solution Microsoft Sentinel associée pour chacune de ces appliances ou appareils, recherchez les Place de marché Azure des modèles de solution de type>de produit ou passez en revue la solution à partir du hub de contenu dans Microsoft Sentinel.
Important
Microsoft Sentinel est désormais en disponibilité générale dans la plateforme d’opérations de sécurité unifiée de Microsoft du portail Microsoft Defender. Pour en savoir plus, consultez Microsoft Sentinel dans le portail Microsoft Defender.
AI Analyst Darktrace
Configurez Darktrace pour transférer des messages syslog au format CEF vers votre espace de travail Azure via l’agent syslog.
- Dans le Darktrace Threat Visualizer, accédez à la page Configuration du système dans le menu principal sous Admin.
- Dans le menu de gauche, sélectionnez Modules et choisissez Microsoft Sentinel dans les intégrations de flux de travail disponibles.
- Recherchez Microsoft Sentinel syslog CEF et sélectionnez Nouveau pour afficher les paramètres de configuration, sauf si déjà exposé.
- Dans le champ Configuration du serveur, entrez l’emplacement du redirecteur de journal. Vous pouvez également modifier le port de communication si vous le souhaitez. Assurez-vous que le port sélectionné est défini sur 514 et qu’il est autorisé par les pare-feu intermédiaires.
- Configurez les seuils d’alerte, les décalages de temps ou d’autres paramètres en fonction des besoins.
- Passez en revue les autres options de configuration que vous souhaiterez peut-être activer pour modifier la syntaxe syslog.
- Activez Envoyer des alertes et enregistrez vos modifications.
Akamai Security Events
Suivez ces étapes pour configurer le connecteur Akamai CEF pour envoyer des messages syslog au format CEF à l’ordinateur proxy. Veillez à envoyer les journaux au port TCP 514 à l’adresse IP de la machine.
AristaAwakeSecurity
Effectuez les étapes suivantes pour transférer les résultats du modèle adversaire éveillé aux résultats d’un collecteur CEF à l’écoute sur le port TCP 514 à l’adresse IP 192.168.0.1 :
- Accédez à la page Compétences de gestion de la détection dans l’interface utilisateur Éveil.
- Sélectionnez + Ajouter une nouvelle compétence.
- Définir l’expression sur
integrations.cef.tcp { destination: "192.168.0.1", port: 514, secure: false, severity: Warning }
- Définissez le titre sur un nom descriptif, par exemple, forward awake adversarial model match result to Microsoft Sentinel.
- Définissez l’identificateur de référence sur un élément facilement détectable comme integrations.cef.sentinel-forwarder.
- Cliquez sur Enregistrer.
Dans quelques minutes après avoir enregistré la définition et d’autres champs, le système commence à envoyer de nouveaux résultats de correspondance de modèle au collecteur d’événements CEF à mesure qu’ils sont détectés.
Pour plus d’informations, consultez la page Ajout d’informations de sécurité et d’intégration push de gestion des événements à partir de la documentation d’aide dans l’interface utilisateur Éveil.
Aruba ClearPass
Configurez Aruba ClearPass pour transférer des messages syslog au format CEF vers votre espace de travail Microsoft Sentinel via l’agent syslog.
- Suivez ces instructions pour configurer Aruba ClearPass pour transférer Syslog.
- Utilisez l’adresse IP ou le nom d’hôte de l’appareil Linux avec l’agent Linux installé comme adresse IP de destination.
Pare-feu d’applications web Barracuda
Le pare-feu d’applications web Barracuda peut s’intégrer aux journaux d’activité et les exporter directement vers Microsoft Sentinel via Azure Monitoring Agent (AMA).
Accédez à la configuration du pare-feu d’applications web Barracuda et suivez les instructions en utilisant les paramètres suivants pour configurer la connexion.
Installation des journaux de pare-feu web : accédez aux paramètres avancés de votre espace de travail et sous les onglets Syslog de données>. Assurez-vous que l’installation existe.
Notez que les données de toutes les régions sont stockées dans l’espace de travail sélectionné.
Broadcom SymantecDLP
Configurez Symantec DLP pour transférer des messages syslog au format CEF vers votre espace de travail Microsoft Sentinel via l’agent syslog.
- Suivez ces instructions afin de configurer le Symantec DLP pour transférer syslog.
- Utilisez l’adresse IP ou le nom d’hôte de l’appareil Linux avec l’agent Linux installé comme adresse IP de destination.
Cisco Firepower EStreamer
Installez et configurez le client Firepower eNcore eStreamer. Pour plus d’informations, consultez le guide d’installation complet.
CiscoSEG
Effectuez les étapes suivantes pour configurer Cisco Secure Email Gateway pour transférer les journaux via syslog :
- Configurer l’abonnement au journal.
- Sélectionnez Journaux d’événements consolidés dans le champ Type de journal.
Pare-feu d’applications web Citrix
Configurez Citrix WAF pour envoyer des messages syslog au format CEF à l’ordinateur proxy.
Recherchez des guides pour configurer les journaux WAF et CEF à partir du support Citrix.
Suivez ce guide pour transférer les journaux vers le proxy. Vérifiez que vous avez envoyé les journaux au port TCP 514 à l'adresse IP de la machine Linux.
Claroty
Configurez le transfert de journal à l’aide de CEF.
- Accédez à la section Syslog du menu Configuration.
- Sélectionnez +Ajouter.
- Dans la boîte de dialogue Ajouter un nouveau syslog, spécifiez l’adresse IP du serveur distant, le port, le protocole.
- Sélectionnez Le format - de message CEF.
- Choisissez Enregistrer pour quitter la boîte de dialogue Ajouter Syslog.
Contrast Protect
Configurez l’agent Contrast Protect pour transférer des événements à Syslog, comme décrit ici : https://docs.contrastsecurity.com/en/output-to-syslog.html. Générez des événements d’attaque pour votre application.
CrowdStrike Falcon
Déployez le collecteur SIEM CrowdStrike Falcon pour transférer des messages syslog au format CEF vers votre espace de travail Microsoft Sentinel via l’agent syslog.
- Suivez ces instructions pour déployer le collecteur SIEM et transférer syslog.
- Utilisez l’adresse IP ou le nom d’hôte de l’appareil Linux avec l’agent Linux installé en tant qu’adresse IP de destination.
CyberArk Enterprise Password Vault (EPV) Events
Sur le protocole EPV, configurez le dbparm.ini pour envoyer des messages syslog au format CEF à l’ordinateur proxy. Assurez-vous que vous avez envoyé les journaux au port TCP 514 à l'adresse IP de l’ordinateur.
Delinea Secret Server
Définissez votre solution de sécurité pour envoyer des messages syslog au format CEF à l’ordinateur proxy. Veillez à envoyer les journaux au port TCP 514 à l’adresse IP de la machine.
ExtraHop Reveal(x)
Définissez votre solution de sécurité pour envoyer des messages syslog au format CEF à l’ordinateur proxy. Veillez à envoyer les journaux vers le port TCP 514 sur l’adresse IP de l’ordinateur.
- Suivez les instructions pour installer l’offre groupée du connecteur SIEM de détection ExtraHop sur votre système Reveal(x). Le connecteur SIEM est requis pour cette intégration.
- Activez le déclencheur pour le connecteur SIEM de détection ExtraHop - CEF.
- Mettez à jour le déclencheur avec les cibles syslog ODS que vous avez créées.
Le système Reveal(x) met en forme les messages syslog au format CEF (Common Event Format), puis envoie des données à Microsoft Sentinel.
F5 Networks
Configurez F5 pour transférer des messages syslog au format CEF vers votre espace de travail Microsoft Sentinel via l’agent syslog.
Accédez à F5 Configuring Application Security Event Logging et suivez les instructions pour configurer la journalisation à distance, en utilisant les recommandations suivantes :
- Définissez le Type de stockage distant sur CEF.
- Définissez le paramètre protocole sur UDP.
- Définissez l’adresse IP sur l’adresse IP du serveur syslog.
- Définissez le numéro de port sur 514 ou le port utilisé par votre agent.
- Définissez l’installation sur celle que vous avez configurée dans l’agent syslog. Par défaut, l’agent définit cette valeur sur local4.
- Vous pouvez définir la même taille maximale de chaîne de requête que celle que vous avez configurée.
Sécurité réseau FireEye
Effectuez les étapes suivantes pour envoyer des données en utilisant CEF :
Connectez-vous à l’appliance FireEye avec un compte d’administrateur.
Cliquez sur Paramètres.
Sélectionnez Notifications. Sélectionnez rsyslog.
Cochez la case Type d’événement.
Vérifiez que les paramètres Rsyslog sont les suivants :
- Format par défaut : CEF
- Remise par défaut : par événement
- Envoi par défaut en tant que : Alerte
Forcepoint CASB
Définissez votre solution de sécurité pour envoyer des messages syslog au format CEF à l’ordinateur proxy. Veillez à envoyer les journaux au port TCP 514 à l’adresse IP de la machine.
Forcepoint CSG
L’intégration est rendue disponible avec deux options d’implémentation :
- Utilise des images Docker où le composant d’intégration est déjà installé avec toutes les dépendances nécessaires. Suivez les instructions fournies dans le Guide d’intégration.
- Nécessite le déploiement manuel du composant d’intégration dans une machine Linux propre. Suivez les instructions fournies dans le Guide d’intégration.
Forcepoint NGFW
Définissez votre solution de sécurité pour envoyer des messages syslog au format CEF à l’ordinateur proxy. Veillez à envoyer les journaux au port TCP 514 à l’adresse IP de la machine.
ForgeRock Common Audit for CEF
Dans ForgeRock, installez et configurez cet audit commun (CAUD) pour Microsoft Sentinel conformément à la documentation à l’adresse https://github.com/javaservlets/SentinelAuditEventHandler. Ensuite, dans Azure, suivez les étapes pour configurer le CEF via le connecteur de données AMA.
iboss
Définissez votre console des menaces pour envoyer des messages syslog au format CEF à votre espace de travail Azure. Notez votre ID d’espace de travail et votre clé primaire dans votre espace de travail log Analytique. Sélectionnez l’espace de travail dans le menu Espaces de travail Log Analytics dans le portail Azure. Sélectionnez ensuite Gestion des agents dans la section Paramètres.
- Accédez à Reporting &Analytique à l’intérieur de votre console iboss.
- Sélectionnez Transfert de journal à>partir du reporter.
- Sélectionnez Actions>Ajouter un service.
- Basculez vers Microsoft Sentinel en tant que type de service et entrez votre ID d’espace de travail/clé primaire, ainsi que d’autres critères. Si une machine Linux proxy dédiée a été configurée, basculez sur Syslog en tant que type de service et configurez les paramètres pour qu’ils pointent vers votre ordinateur Linux proxy dédié.
- Attendez une à deux minutes pour que l’installation se termine.
- Sélectionnez votre service Microsoft Sentinel et vérifiez que l’état de configuration de Microsoft Sentinel réussit. Si une machine Linux proxy dédiée est configurée, vous pouvez valider votre connexion.
Illumio Core
Configurez le format d’événement.
- Dans le menu de la console web PCE, choisissez Paramètres > Paramètres d’événement pour afficher vos paramètres actuels.
- Sélectionnez Modifier pour modifier les paramètres.
- Définissez Format d’événement sur CEF.
- (Facultatif) Configurez la Gravité de l’événement et la Période de rétention.
Configurez le transfert d’événements vers un serveur syslog externe.
- Dans le menu de la console web PCE, choisissez Paramètres>des paramètres des événements.
- Sélectionnez Ajouter.
- Sélectionnez Ajouter un référentiel.
- Terminez la boîte de dialogue Ajouter un référentiel.
- Sélectionnez OK pour enregistrer la configuration du transfert d’événements.
Illusive Platform
Définissez votre solution de sécurité pour envoyer des messages syslog au format CEF à l’ordinateur proxy. Veillez à envoyer les journaux au port TCP 514 à l’adresse IP de la machine.
Connectez-vous à la console Illusive et accédez à Paramètres>de création de rapports.
Recherchez des serveurs Syslog.
Fournissez les informations suivantes :
- Nom d’hôte : Adresse IP de l’agent Syslog Linux ou nom d’hôte FQDN
- Port : 514
- Protocole : TCP
- Messages d’audit : envoyer des messages d’audit au serveur
Pour ajouter le serveur syslog, sélectionnez Ajouter.
Pour plus d’informations sur l’ajout d’un nouveau serveur syslog dans la plateforme Illusive, recherchez ici le Guide d’administration illusive Networks : https://support.illusivenetworks.com/hc/en-us/sections/360002292119-Documentation-by-Version
Imperva WAF Gateway
Ce connecteur nécessite la création d’une interface d’action et d’un jeu d’actions sur imperva SecureSphere MX. Suivez les étapes pour créer les exigences.
- Créez une interface d’action qui contient les paramètres requis pour envoyer des alertes WAF à Microsoft Sentinel.
- Créez un jeu d’actions qui utilise l’interface d’action configurée.
- Appliquez l’ensemble d’actions à toutes les stratégies de sécurité que vous souhaitez envoyer aux alertes envoyées à Microsoft Sentinel.
Infoblox Cloud Data Connector
Effectuez les étapes suivantes pour configurer infoblox CDC pour envoyer des données BloxOne à Microsoft Sentinel via l’agent syslog Linux.
- Accédez à Gérer le>connecteur de données.
- Sélectionnez l’onglet Configuration de destination en haut.
- Sélectionnez Créer > Syslog.
- Nom : donnez un nom explicite à la nouvelle destination, par exemple Microsoft-Sentinel-Destination.
- Description : Si vous le souhaitez, donnez-lui une description explicite.
- State : définissez l’état sur Enabled.
- Format : définissez le format sur CEF
- FQDN/IP : entrez l’adresse IP de l’appareil Linux sur lequel l’agent Linux est installé.
- Port : laissez le numéro de port sur 514.
- Protocol : sélectionnez le protocole souhaité, et le certificat d’autorité de certification le cas échéant.
- Cliquez sur Enregistrer et fermer.
- Sélectionnez l’onglet Configuration du flux de trafic en haut.
- Sélectionnez Créer.
- Nom : donnez au nouveau flux de trafic un nom explicite, tel que Microsoft-Sentinel-Flow.
- Description : Si vous le souhaitez, donnez-lui une description explicite.
- State : définissez l’état sur Enabled.
- Développez la section Instance de service.
- Instance de service : sélectionnez votre instance de service souhaitée pour laquelle le service Data Connector est activé.
- Développez la section Source Configuration.
- Source : sélectionnez BloxOne Cloud Source.
- Sélectionnez tous les types de journaux souhaités que vous souhaitez collecter. Actuellement, les types de journaux pris en charge sont les suivants :
- Journal des requêtes/réponses de défense contre les menaces
- Journal des accès aux flux de menaces de défense contre les menaces
- Journal des requêtes/réponses DDI
- Journal des baux DHCP DDI
- Développez la section Destination Configuration.
- Sélectionnez la destination que vous avez créée.
- Cliquez sur Enregistrer et fermer.
- Laissez le temps à la configuration de s’activer.
Infoblox SOC Insights
Effectuez les étapes suivantes pour configurer infoblox CDC pour envoyer des données BloxOne à Microsoft Sentinel via l’agent syslog Linux.
- Accédez à Manage > Data Connector.
- Sélectionnez l’onglet Configuration de destination en haut.
- Sélectionnez Créer > Syslog.
- Nom : donnez un nom explicite à la nouvelle destination, par exemple Microsoft-Sentinel-Destination.
- Description : Si vous le souhaitez, donnez-lui une description explicite.
- State : définissez l’état sur Enabled.
- Format : définissez le format sur CEF
- FQDN/IP : entrez l’adresse IP de l’appareil Linux sur lequel l’agent Linux est installé.
- Port : laissez le numéro de port sur 514.
- Protocol : sélectionnez le protocole souhaité, et le certificat d’autorité de certification le cas échéant.
- Cliquez sur Enregistrer et fermer.
- Sélectionnez l’onglet Configuration du flux de trafic en haut.
- Sélectionnez Créer.
- Nom : donnez au nouveau flux de trafic un nom explicite, tel que Microsoft-Sentinel-Flow.
- Description : donnez-lui éventuellement une description explicite.
- State : définissez l’état sur Enabled.
- Développez la section Instance de service.
- Instance de service : sélectionnez votre instance de service souhaitée pour laquelle le service de connecteur de données est activé.
- Développez la section Source Configuration.
- Source : sélectionnez BloxOne Cloud Source.
- Sélectionnez le type de journal des notifications internes.
- Développez la section Destination Configuration.
- Sélectionnez la destination que vous avez créée.
- Cliquez sur Enregistrer et fermer.
- Laissez le temps à la configuration de s’activer.
Center De l’assurance-sécurité
Suivez les instructions pour configurer l’exportation d’événements à partir de Kaspersky Security Center.
Morphisec
Définissez votre solution de sécurité pour envoyer des messages syslog au format CEF à l’ordinateur proxy. Veillez à envoyer les journaux au port TCP 514 à l’adresse IP de la machine.
Auditeur Netwrix
Suivez les instructions pour configurer l’exportation d’événements à partir de Netwrix Auditor.
NozomiNetworks
Effectuez les étapes suivantes pour configurer l’appareil Nozomi Networks pour envoyer des alertes, des audits et des journaux d’intégrité via syslog au format CEF :
- Connectez-vous à la console Guardian.
- Accédez à Administration> Intégration de données.
- Sélectionnez +Ajouter.
- Sélectionnez le format d’événement commun (CEF) dans la liste déroulante.
- Créez un point de terminaison à l’aide des informations d’hôte appropriées.
- Activez les alertes, les journaux d’audit et les journaux d’intégrité pour l’envoi.
Onapsis Platform
Reportez-vous à l’aide du produit Onapsis pour configurer le transfert de journal vers l’agent syslog.
Accédez à Configurer>des intégrations tierces Défendez les alarmes> et suivez les instructions de Microsoft Sentinel.
Vérifiez que votre console Onapsis peut atteindre l’ordinateur proxy sur lequel l’agent est installé. Les journaux doivent être envoyés au port 514 à l’aide de TCP.
OSSEC
Suivez ces étapes pour configurer l’envoi d’alertes OSSEC via Syslog.
Palo Alto - XDR (Cortex)
Configurez Palo Alto XDR (Cortex) pour transférer des messages au format CEF vers votre espace de travail Microsoft Sentinel via l’agent syslog.
- Accédez aux paramètres et configurations de Cortex.
- Sélectionnez cette option pour ajouter un nouveau serveur sous Applications externes.
- Spécifiez ensuite le nom et donnez l’adresse IP publique de votre serveur syslog dans Destination.
- Donnez le numéro de port 514.
- Dans le champ Installation , sélectionnez FAC_SYSLOG dans la liste déroulante.
- Sélectionnez Protocole UDP.
- Sélectionnez Créer.
PaloAlto-PAN-OS
Configurez Palo Alto Networks pour transférer des messages syslog au format CEF vers votre espace de travail Microsoft Sentinel via l’agent syslog.
Accédez à configurer Palo Alto Networks NGFW pour l’envoi d’événements CEF.
Accédez à Palo Alto CEF Configuration et Palo Alto Configurer Syslog Monitoring étapes 2, 3, choisissez votre version et suivez les instructions en suivant les instructions suivantes :
- Définissez le format du serveur Syslog sur BSD.
- Copiez le texte dans un éditeur et supprimez les caractères qui peuvent interrompre le format du journal avant de le coller. Les opérations copier/coller depuis le PDF peuvent modifier le texte et insérer des caractères aléatoires.
PaloAltoCDL
Suivez les instructions pour configurer le transfert des journaux d’activité de Cortex Data Lake vers un serveur syslog.
PingFederate
Suivez ces étapes pour configurer le journal d’audit d’envoi PingFederate via syslog au format CEF.
RidgeSecurity
Configurez RidgeBot pour transférer des événements vers le serveur syslog, comme décrit ici. Générez des événements d’attaque pour votre application.
SonicWall Firewall
Définissez votre pare-feu SonicWall pour envoyer des messages syslog au format CEF sur l’ordinateur proxy. Veillez à envoyer les journaux vers le port TCP 514 sur l’adresse IP de l’ordinateur.
Suivez les instructions. Ensuite, veillez à sélectionner l’utilisation locale 4 comme installation. Sélectionnez Ensuite ArcSight comme format syslog.
Trend Micro Apex One
Suivez ces étapes pour configurer l’envoi d’alertes Apex Central via le Syslog. Lors de la configuration, à l’étape 6, sélectionnez le format de journal CEF.
Trend Micro Deep Security
Définissez votre solution de sécurité pour envoyer des messages syslog au format CEF à l’ordinateur proxy. Veillez à envoyer les journaux vers le port TCP 514 sur l’adresse IP de l’ordinateur.
- Transférer les événements Trend Micro Deep Security à l’agent syslog.
- Définissez une nouvelle configuration syslog qui utilise le format CEF en référençant cet article de connaissances pour plus d’informations.
- Configurez Deep Security Manager pour utiliser cette nouvelle configuration pour transférer des événements à l’agent syslog à l’aide de ces instructions.
- Veillez à enregistrer la fonction TrendMicroDeepSecurity afin qu’elle interroge correctement les données Trend Micro Deep Security.
Trend Micro TippingPoint
Définissez votre SMS TippingPoint pour envoyer des messages syslog au format CEF ArcSight v4.2 à l’ordinateur proxy. Assurez-vous que vous avez envoyé les journaux au port TCP 514 à l'adresse IP de la machine.
vArmour Application Controller
Envoyez des messages syslog au format CEF à l’ordinateur proxy. Veillez à envoyer les journaux vers le port TCP 514 sur l’adresse IP de l’ordinateur.
Téléchargez le guide de l’utilisateur à partir de https://support.varmour.com/hc/en-us/articles/360057444831-vArmour-Application-Controller-6-0-User-Guide. Dans le guide de l’utilisateur, reportez-vous à « Configuration de Syslog pour la surveillance et les violations » et suivez les étapes 1 à 3.
Vectra AI Detect
Configurez l’agent Vectra (X Series) pour transférer des messages syslog au format CEF vers votre espace de travail Microsoft Sentinel via l’agent syslog.
À partir de l’interface utilisateur Vectra, accédez à Notifications de paramètres > et modifiez la configuration syslog. Suivez les instructions ci-dessous pour configurer la connexion :
- Ajoutez une nouvelle destination (qui est l’hôte où l’agent syslog Microsoft Sentinel est en cours d’exécution).
- Définissez le port sur 514.
- Définissez le protocole en tant qu’UDP.
- Définissez le format sur CEF.
- Définissez les types de journaux. Sélectionnez tous les types de journaux disponibles.
- Sélectionnez Enregistrer.
- Sélectionnez le bouton Tester pour envoyer certains événements de test.
Pour plus d’informations, reportez-vous au Guide du Syslog Cognito Detect qui peut être téléchargé à partir de la page des ressources dans l’interface utilisateur de Detect.
Votiro
Définissez les points de terminaison Votiro pour envoyer des messages syslog au format CEF à l’ordinateur redirecteur. Veillez à envoyer les journaux au port 514 TCP sur l’adresse IP de l’ordinateur redirecteur.
WireX Network Forensics Platform
Contactez le support WireX (https://wirexsystems.com/contact-us/) pour configurer votre solution NFP pour envoyer des messages syslog au format CEF à l’ordinateur proxy. Assurez-vous que le gestionnaire central peut envoyer les journaux au port 514 TCP sur l’adresse IP de la machine.
WithSecure Elements via Connector
Connectez votre appliance WithSecure Elements Connector à Microsoft Sentinel. Le connecteur de données WithSecure Elements Connector vous permet de connecter facilement vos journaux WithSecure Elements à Microsoft Sentinel, d’afficher des tableaux de bord, de créer des alertes personnalisées et d’améliorer l’investigation.
Remarque
Les données sont stockées dans l’emplacement géographique de l’espace de travail sur lequel vous exécutez Microsoft Sentinel.
Configurez avec Secure Elements Connector pour transférer des messages syslog au format CEF vers votre espace de travail Log Analytique via l’agent syslog.
- Sélectionnez ou créez une machine Linux pour Microsoft Sentinel à utiliser comme proxy entre votre solution WithSecurity et Microsoft Sentinel. La machine peut être un environnement local, Microsoft Azure ou un autre environnement cloud. Linux doit avoir
syslog-ng
etpython
/python3
installé. - Installez Azure Monitoring Agent (AMA) sur votre machine Linux et configurez l’ordinateur pour écouter le port nécessaire et transférer les messages vers votre espace de travail Microsoft Sentinel. Le collecteur CEF collecte les messages CEF sur le port TCP514. Vous devez disposer d’autorisations élevées (sudo) sur votre machine.
- Accédez à PPE dans le portail d’éléments WithSecure. Accédez ensuite aux téléchargements. Dans la section Connecteur Éléments, sélectionnez Créer une clé d’abonnement. Vous pouvez vérifier votre clé d’abonnement dans Abonnements.
- Dans la section Téléchargements dans WithSecure Elements Connector , sélectionnez le programme d’installation approprié et téléchargez-le.
- Lorsque vous êtes en PPE, ouvrez les paramètres du compte à partir du coin supérieur droit. Sélectionnez ensuite Obtenir la clé API de gestion. Si la clé a été créée précédemment, elle peut également être lue.
- Pour installer Elements Connector, suivez la documentation du connecteur Elements.
- Si l’accès à l’API n’est pas configuré pendant l’installation, suivez La configuration de l’accès à l’API pour Elements Connector.
- Accédez à PPE, puis Profils, puis utilisez For Connector à partir duquel vous pouvez voir les profils de connecteur. Créez un profil (ou modifiez un profil existant qui n’est pas en lecture seule). Dans le transfert d’événements, activez-le. Définissez l’adresse système SIEM : 127.0.0.1:514. Définissez le format sur Common Event Format (CEF). Le protocole est TCP. Enregistrez le profil et affectez-le à Elements Connector sous l’onglet Appareils .
- Pour utiliser le schéma approprié dans log Analytique pour le connecteur WithSecure Elements, recherchez CommonSecurityLog.
- Poursuivez la validation de votre connectivité CEF.
Zscaler
Définissez le produit Zscaler pour envoyer des messages syslog au format CEF à votre agent syslog. Veillez à envoyer les journaux sur le port 514 TCP.
Pour plus d’informations, consultez le guide d’intégration de Zscaler Microsoft Sentinel.