[Elavult] Zscaler Private Access-összekötő a Microsoft Sentinelhez
Fontos
A sok készülékről és eszközről származó naplógyűjtést mostantól támogatja a Common Event Format (CEF) az AMA-n, a Syslogon keresztül az AMA-n vagy az egyéni naplókon keresztül a Microsoft Sentinel AMA-adatösszekötőn keresztül. További információért lásd: A Microsoft Sentinel-adatösszekötő megkeresése.
A Zscaler Private Access (ZPA) adatösszekötő lehetővé teszi a Zscaler Private Access-események Microsoft Sentinelbe való betöltését. További információért tekintse meg a Zscaler Private Access dokumentációját .
Ez automatikusan létrehozott tartalom. A módosításokért forduljon a megoldásszolgáltatóhoz.
Összekötő attribútumai
| Összekötő attribútum | Leírás |
|---|---|
| Kusto függvény aliasa | ZPAEvent |
| Kusto függvény URL-címe | https://aka.ms/sentinel-ZscalerPrivateAccess-parser |
| Log Analytics-tábla(ok) | ZPA_CL |
| Adatgyűjtési szabályok támogatása | Jelenleg nem támogatott |
| Támogatja: | Microsoft Corporation |
Példák lekérdezésekre
Minden napló
ZPAEvent
| sort by TimeGenerated
Szállító telepítési útmutatója
Feljegyzés
Ez az adatösszekötő egy Kusto-függvényen alapuló elemzőtől függ, hogy a várt módon működjön. Kövesse az alábbi lépéseket a Kusto Functions alias, ZPAEvent létrehozásához
Feljegyzés
Ez az adatösszekötő a Zscaler Private Access 21.67.1-es verziójával lett kifejlesztve
- Az ügynök telepítése és előkészítése Linux vagy Windows rendszeren
Telepítse az ügynököt arra a kiszolgálóra, amelyen a Zscaler Private Access naplói továbbításra kerülnek.
A Linux- vagy Windows-kiszolgálókon üzembe helyezett Zscaler Private Access Server naplóit Linux- vagy Windows-ügynökök gyűjtik.
- A gyűjtendő naplók konfigurálása
Kövesse az alábbi konfigurációs lépéseket a Zscaler Private Access-naplók Microsoft Sentinelbe való lekéréséhez. További részletekért tekintse meg az Azure Monitor dokumentációját . A Zscaler Private Access-naplók a Log Streaming Service-en (LSS) keresztül érkeznek. Részletes információkért tekintse meg az LSS dokumentációját
Naplóvevők konfigurálása. A naplóvevő konfigurálása során válassza a JSON-t naplósablonként.
A zpa.conf wget -v https://aka.ms/sentinel-zscalerprivateaccess-conf -O zpa.conf konfigurációs fájl letöltése
Jelentkezzen be arra a kiszolgálóra, ahol telepítette az Azure Log Analytics-ügynököt.
Másolja a zpa.conf fájlt a /etc/opt/microsoft/omsagent/workspace_id/conf/omsagent.d/ mappába.
Szerkessze a zpa.conf fájlt az alábbiak szerint:
a. adja meg azt a portot, amelyre beállította a Zscaler-naplóvevőket a naplók továbbítására (4. sor)
b. A zpa.conf alapértelmezés szerint a 22033-at használja. Győződjön meg arról, hogy ezt a portot nem használja más forrás a kiszolgálón
c. Ha módosítani szeretné a zpa.conf alapértelmezett portját, győződjön meg arról, hogy nem ütközik az alapértelmezett AMA-ügynökportokkal. (Például a CEF a 25226-os vagy a 25224-ös TCP-portot használja)
d. cserélje le workspace_id a munkaterület-azonosító valós értékére (14.15.16.19. sor)
Mentse a módosításokat, és indítsa újra a Linuxhoz készült Azure Log Analytics-ügynököt a következő paranccsal: sudo /opt/microsoft/omsagent/bin/service_control restart
Következő lépések
További információ: a kapcsolódó megoldás az Azure Marketplace-en.