Connecteur Zscaler Private Access pour Microsoft Sentinel
Le connecteur de données Zscaler Private Access (ZPA) offre la possibilité d’ingérer des événements Zscaler Private Access dans Microsoft Sentinel. Pour plus d’informations, consultez la documentation de Zscaler Private Access.
Ce contenu est généré automatiquement. Pour toute modification, contactez le fournisseur de la solution.
Attributs du connecteur
| Attribut du connecteur | Description |
|---|---|
| Alias de fonction Kusto | ZPAEvent |
| URL de fonction Kusto | https://aka.ms/sentinel-ZscalerPrivateAccess-parser |
| Table(s) Log Analytics | ZPA_CL |
| Prise en charge des règles de collecte de données | Non prise en charge pour le moment |
| Pris en charge par | Microsoft Corporation |
Exemples de requête
Tous les journaux d’activité
ZPAEvent
| sort by TimeGenerated
Instructions d’installation du fournisseur
Notes
Ce connecteur de données dépend d’un analyseur basé sur une fonction Kusto pour pouvoir fonctionner normalement. Suivez ces étapes pour créer l’alias des fonctions Kusto, ZPAEvent
Notes
Ce connecteur de données a été développé avec la version 21.67.1 de Zscaler Private Access
- Installer et intégrer l’agent pour Linux ou Windows
Installez l’agent sur le serveur où les journaux de Zscaler Private Access sont transférés.
Les journaux provenant de Zscaler Private Access Server déployé sur des serveurs Linux ou Windows sont collectés par des agents Linux ou Windows.
- Configurer les journaux à collecter
Suivez les étapes de configuration ci-dessous pour accéder aux journaux Zscaler Private Access dans Microsoft Sentinel. Pour plus d’informations sur ces étapes, consultez la Documentation d’Azure Monitor. Les journaux Zscaler Private Access sont fournis par le biais du service de streaming des journaux (LSS). Pour plus d’informations, consultez la Documentation de LSS.
Configurez des Récepteurs de journaux. Lors de la configuration d’un récepteur de journaux, choisissez JSON comme Modèle de journal.
Téléchargez le fichier de configuration zpa.conf wget -v https://aka.ms/sentinel-zscalerprivateaccess-conf -O zpa.conf.
Connectez-vous au serveur sur lequel vous avez installé l’agent Azure Log Analytics.
Copiez zpa.conf dans le dossier /etc/opt/microsoft/omsagent/ID_espace_travail/conf/omsagent.d/.
Modifiez zpa.conf comme suit :
a. Spécifiez le port sur lequel vous avez défini vos récepteurs de journaux Zscaler pour transférer les journaux (ligne 4)
b. zpa.conf utilise le port 22033 par défaut. Veillez à ce que ce port ne soit pas utilisé par une autre source sur votre serveur.
c. Si vous souhaitez modifier le port par défaut pour zpa.conf , assurez-vous qu’il n’entre pas en conflit avec les ports de l’agent AMA par défaut (par exemple, CEF utilise le port TCP 25226 ou 25224)
d. Remplacez ID_espace_travail par la valeur réelle d’ID de votre espace de travail (lignes 14, 15, 16, 19).
Enregistrez les modifications et redémarrez l’agent Azure Log Analytics pour le service Linux avec la commande suivante : sudo /opt/microsoft/omsagent/bin/service_control restart.
Étapes suivantes
Pour plus d’informations, accédez à la solution associée dans la Place de marché Azure.