Megosztás a következőn keresztül:

Rugalmas ügynök (önálló) összekötő a Microsoft Sentinelhez

  • Cikk

Az Elastic Agent adatösszekötő lehetővé teszi az Elastic Agent-naplók, metrikák és biztonsági adatok Microsoft Sentinelbe való betöltését.

Ez automatikusan létrehozott tartalom. A módosításokért forduljon a megoldásszolgáltatóhoz.

Csatlakozás or attribútumok

Csatlakozás or attribútum Leírás
Log Analytics-tábla(ok) ElasticAgentLogs_CL
Adatgyűjtési szabályok támogatása Jelenleg nem támogatott
Támogatja: Microsoft Corporation

Példák lekérdezésekre

A 10 legjobb eszköz

ElasticAgentEvent

| summarize count() by DvcIpAddr

| top 10 by count_

Előfeltételek

A Rugalmas ügynökkel (önálló) való integrációhoz győződjön meg arról, hogy a következőkkel rendelkezik:

  • Egyéni előfeltételek belefoglalása, ha a kapcsolat megköveteli – másként törölje a vámokat: Az egyéni előfeltételek leírása

Szállító telepítési útmutatója

Feljegyzés

Ez az adatösszekötő egy Kusto-függvényen alapuló elemzőtől függ, amely a Várt ElasticAgentEventnek megfelelően működik, amelyet a Microsoft Sentinel Megoldással helyez üzembe.

Feljegyzés

Ezt az adatösszekötőt az Elastic Agent 7.14 használatával fejlesztettük ki.

  1. Az ügynök telepítése és előkészítése Linux vagy Windows rendszeren

Telepítse az ügynököt arra a kiszolgálóra, ahol a rugalmas ügynök naplói továbbításra kerülnek.

A Linux- vagy Windows-kiszolgálókon üzembe helyezett rugalmas ügynökök naplóit Linux- vagy Windows-ügynökök gyűjtik.

  1. Rugalmas ügynök konfigurálása (önálló)

Kövesse az utasításokat az Elastic Agent logstash-kimenetre való konfigurálásához

  1. A Logstash konfigurálása a Microsoft Logstash kimeneti beépülő modul használatára

Kövesse a lépéseket a Logstash konfigurálásához a microsoft-logstash-output-azure-loganalytics beépülő modul használatához:

3.1) Ellenőrizze, hogy a beépülő modul már telepítve van-e:

./logstash-plugin lista | grep "azure-loganalytics" (ha a beépülő modul telepítve van, lépjen a 3.3. lépéshez)

3.2) Telepítse a beépülő modult:

./logstash-plugin install microsoft-logstash-output-azure-loganalytics

3.3) A Logstash konfigurálása a beépülő modul használatára

  1. Naplóbetöltés ellenőrzése

Kövesse az utasításokat a kapcsolat ellenőrzéséhez:

Nyissa meg a Log Analyticst annak ellenőrzéséhez, hogy a naplók a 3.3. lépésben megadott egyéni táblával érkeznek-e (például ElasticAgentLogs_CL).

Ez körülbelül 30 percet vehet igénybe, amíg a kapcsolat adatokat továbbít a munkaterületre.

Következő lépések

További információ: a kapcsolódó megoldás az Azure Marketplace-en.