Connecteur Juniper IDP pour Microsoft Sentinel

  • Article

Le connecteur de données Juniper IDP permet d’ingérer des événements Juniper IDP dans Microsoft Sentinel.

Attributs du connecteur

Attribut du connecteur Description
Table(s) Log Analytics JuniperIDP_CL
Prise en charge des règles de collecte de données Non prise en charge pour le moment
Pris en charge par Microsoft Corporation

Exemples de requête

10 principaux clients (adresse IP source)

JuniperIDP

| summarize count() by SrcIpAddr

| top 10 by count_

Instructions d’installation du fournisseur

Notes

Ce connecteur de données dépend d’un analyseur basé sur une fonction Kusto pour fonctionner comme prévu avec JuniperIDP, ce qui est déployé avec la solution Microsoft Sentinel.

Notes

IDP OS 5.1 et versions ultérieures est pris en charge par ce connecteur de données.

  1. Installer et intégrer l’agent pour Linux ou Windows

Installez l’agent sur le serveur.

  1. Configurer les journaux à collecter

Suivez les étapes de configuration ci-dessous pour retrouver les journaux Juniper IDP dans Microsoft Sentinel. Cette configuration enrichit les événements générés par le module Juniper IDP, afin de fournir une visibilité sur les informations sources des journaux Juniper IDP. Pour plus d’informations sur ces étapes, consultez la Documentation d’Azure Monitor.

  1. Téléchargez le fichier config juniper_idp.conf.

  2. Connectez-vous au serveur sur lequel vous avez installé l’agent Azure Log Analytics.

  3. Copiez juniper_idp.conf dans le dossier /etc/opt/microsoft/omsagent/ID_espace_travail/conf/omsagent.d/.

  4. Modifiez juniper_idp.conf comme suit :

    i. Modifiez le port d’écoute pour la réception des journaux en fonction de votre configuration (ligne 3).

    ii. Remplacez ID_espace_travail par la valeur réelle de l’ID de votre espace de travail (lignes 58, 59, 60, 63).

  5. Enregistrez les modifications et redémarrez l’agent Azure Log Analytics pour le service Linux avec la commande suivante : sudo /opt/microsoft/omsagent/bin/service_control restart.

  6. Pour configurer une destination syslog distante, reportez-vous à Bien démarrer avec SRX – Configurer la journalisation système.

Étapes suivantes

Pour plus d’informations, accédez à la solution associée dans la Place de marché Azure.