Connecteur Elastic Agent (autonome) pour Microsoft Sentinel

  • Article

Le connecteur de données Elastic Agent offre la capacité d’ingérer les journaux, les métriques et les données de sécurité d’Elastic Agent dans Microsoft Sentinel.

Attributs du connecteur

Attribut du connecteur Description
Table(s) Log Analytics ElasticAgentLogs_CL
Prise en charge des règles de collecte de données Non prise en charge pour le moment
Pris en charge par Microsoft Corporation

Exemples de requête

Les 10 appareils principaux

ElasticAgentEvent

| summarize count() by DvcIpAddr

| top 10 by count_

Prérequis

Pour l’intégration avec Elastic Agent (autonome), vérifiez que vous disposez des éléments suivants :

  • Inclure des conditions préalables personnalisées si la connectivité l’exige. Sinon, supprimez les personnalisations : description de tout prérequis personnalisé

Instructions d’installation du fournisseur

Notes

Ce connecteur de données dépend d’un analyseur basé sur une fonction Kusto pour fonctionner comme prévu, notamment ElasticAgentEvent qui est déployé avec la solution Microsoft Sentinel.

Notes

Ce connecteur de données a été développé à l’aide d’Elastic Agent 7.14.

  1. Installer et intégrer l’agent pour Linux ou Windows

Installez l’agent sur le serveur sur lequel les journaux d’Elastic Agent sont transférés.

Les journaux d’activité des agents Elastic Agent déployés sur des serveurs Linux ou Windows sont collectés par les agents Linux ou Windows.

  1. Configurer Elastic Agent (autonome)

Suivre les instructions pour configurer Elastic Agent pour qu’il génère une sortie vers Logstash

  1. Configurer Logstash pour utiliser le plug-in de sortie Microsoft Logstash

Suivez les étapes de configuration de Logstash afin d’utiliser le plug-in microsoft-logstash-output-azure-loganalytics :

3.1) Vérifiez si le plug-in est déjà installé :

./logstash-plugin list | grep 'azure-loganalytics' (si le plug-in est installé, passez à l’étape 3.3)

3.2) Installez le plug-in :

./logstash-plugin install microsoft-logstash-output-azure-loganalytics

3.3) Configurez Logstash pour utiliser le plug-in

  1. Valider l’ingestion des journaux

Suivez les instructions pour valider votre connectivité :

Ouvrez Log Analytics pour vérifier si les journaux sont reçus à l’aide d’une table personnalisée spécifiée à l’étape 3.3 (par exemple, ElasticAgentLogs_CL).

Il faut environ 30 minutes pour que la connexion diffuse des données dans votre espace de travail.

Étapes suivantes

Pour plus d’informations, accédez à la solution associée dans la Place de marché Azure.