Megosztás a következőn keresztül:

CEF az AMA-adatösszekötőn keresztül – Adott berendezés vagy eszköz konfigurálása a Microsoft Sentinel-adatbetöltéshez

  • Cikk

Számos biztonsági berendezés és eszköz naplógyűjtését támogatja a Common Event Format (CEF) a Microsoft Sentinel AMA-adatösszekötőjével . Ez a cikk az adatösszekötőt használó egyes biztonsági berendezések és eszközök szolgáltató által megadott telepítési utasításait sorolja fel. Frissítésekért, további információkért vagy a biztonsági berendezéshez vagy eszközhöz nem elérhető információkért forduljon a szolgáltatóhoz.

A Microsoft Sentinel Log Analytics-munkaterületére való adatbetöltéshez hajtsa végre az Ingest syslog- és CEF-üzeneteknek a Microsoft Sentinelbe való betöltésének lépéseit az Azure Monitor-ügynökkel. Ezek a lépések magukban foglalják a Common Event Format (CEF) telepítését az AMA adatösszekötőn keresztül a Microsoft Sentinelben. Az összekötő telepítése után a telepítés befejezéséhez használja az eszközére vonatkozó, a jelen cikkben később látható utasításokat.

Az egyes készülékekhez vagy eszközökhöz kapcsolódó Microsoft Sentinel-megoldással kapcsolatos további információkért keresse meg az Azure Marketplace-en a terméktípus-megoldássablonokat>, vagy tekintse át a megoldást a Microsoft Sentinel tartalomközpontjából.

Fontos

A Microsoft Sentinel mostantól általánosan elérhető a Microsoft egyesített biztonsági üzemeltetési platformján a Microsoft Defender portálon. További információ: Microsoft Sentinel a Microsoft Defender portálon.

AI-elemző – Darktrace

Konfigurálja a Darktrace-et, hogy CEF formátumban továbbíthassa a syslog-üzeneteket az Azure-munkaterületre a syslog-ügynökön keresztül.

  1. A Darktrace Threat Visualizerben lépjen a System Config lapra a Főmenü Rendszergazda területén.
  2. A bal oldali menüben válassza a Modulok lehetőséget, és válassza a Microsoft Sentinel lehetőséget az elérhető munkafolyamat-integrációk közül.
  3. Keresse meg a Microsoft Sentinel syslog CEF-et, és válassza az Új lehetőséget a konfigurációs beállítások megjelenítéséhez, hacsak még nincs közzétéve.
  4. A Kiszolgáló konfigurációja mezőben adja meg a naplótovábbító helyét, és szükség esetén módosítsa a kommunikációs portot. Győződjön meg arról, hogy a kiválasztott port értéke 514, és a köztes tűzfalak engedélyezik.
  5. Szükség szerint konfiguráljon riasztási küszöbértékeket, időeltolódásokat vagy egyéb beállításokat.
  6. Tekintse át azokat az egyéb konfigurációs beállításokat, amelyeket engedélyezni szeretne, amelyek módosítják a syslog szintaxisát.
  7. Engedélyezze a riasztások küldését , és mentse a módosításokat.

Akamai biztonsági események

Az alábbi lépéseket követve konfigurálhatja az Akamai CEF-összekötőt, hogy CEF formátumban küldjön syslog-üzeneteket a proxygépnek. Győződjön meg arról, hogy a naplókat a gép IP-címén lévő 514-ös TCP-portra küldi.

AristaAwakeSecurity

Hajtsa végre az alábbi lépéseket az Awake Adversarial Model egyezés eredményeinek továbbításához egy CEF-gyűjtőnek, amely az 514-ös TCP-portot figyeli az 192.168.0.1 IP-címen:

  1. Lépjen az Észleléskezelési képességek lapra az Ébrenlét felhasználói felületen.
  2. Válassza az + Új képesség hozzáadása lehetőséget.
  3. Kifejezés beállítása integrations.cef.tcp { destination: "192.168.0.1", port: 514, secure: false, severity: Warning }
  4. Adja meg a címet egy leíró névre, például: Forward Awake Adversarial Model match result to Microsoft Sentinel.
  5. Állítson be referencia-azonosítót egy könnyen felderíthetőre, például az integrations.cef.sentinel-forwarder értékre.
  6. Válassza a Mentés lehetőséget.

A definíció és más mezők mentését követő néhány percen belül a rendszer elkezdi elküldeni az új modellegyezés eredményeit a CEF-események gyűjtőjének, amint észleli őket.

További információ: Biztonsági információ és eseménykezelési leküldéses integráció hozzáadása oldal az Awake felhasználói felületén található súgódokumentációból .

Aruba ClearPass

Konfigurálja az Aruba ClearPasst, hogy CEF formátumban továbbíthassa a syslog-üzeneteket a Microsoft Sentinel-munkaterületre a syslog-ügynökön keresztül.

  1. Kövesse az alábbi utasításokat az Aruba ClearPass konfigurálásához a syslog továbbításához.
  2. Használja a Linux-eszköz IP-címét vagy gazdagépnevét a Cél IP-címként telepített Linux-ügynökkel .

Barracuda WAF

A Barracuda webalkalmazás tűzfala integrálható és exportálhat naplókat közvetlenül a Microsoft Sentinelbe az Azure Monitoring Agent (AMA) segítségével.

  1. Nyissa meg a Barracuda WAF-konfigurációt, és kövesse az utasításokat a következő paraméterekkel a kapcsolat beállításához.

  2. Webes tűzfalnaplók létesítménye: Nyissa meg a munkaterület speciális beállításait és az Adatsz>syslog lapokat. Győződjön meg arról, hogy a létesítmény létezik.

Figyelje meg, hogy az összes régió adatai a kijelölt munkaterületen vannak tárolva.

Broadcom SymantecDLP

Konfigurálja a Symantec DLP-t, hogy CEF formátumban továbbíthassa a syslog-üzeneteket a Microsoft Sentinel-munkaterületre a syslog-ügynökön keresztül.

  1. Kövesse az alábbi utasításokat a Symantec DLP konfigurálásához a syslog továbbításához
  2. Használja a Linux-eszköz IP-címét vagy gazdagépnevét a Cél IP-címként telepített Linux-ügynökkel .

Cisco Firepower EStreamer

Telepítse és konfigurálja a Firepower eNcore eStreamer-ügyfelet. További információkért tekintse meg a teljes telepítési útmutatót.

CiscoSEG

Hajtsa végre az alábbi lépéseket a Cisco Secure Email Gateway konfigurálásához a naplók syslogon keresztüli továbbításához:

  1. Napló-előfizetés konfigurálása.
  2. Válassza a Konszolidált eseménynaplók lehetőséget a Naplótípus mezőben.

Citrix Web App Firewall

Konfigurálja a Citrix WAF-t, hogy CEF formátumban küldjön syslog-üzeneteket a proxygépnek.

  • Útmutatók keresése WAF- és CEF-naplók konfigurálásához a Citrix ügyfélszolgálatától.

  • Kövesse ezt az útmutatót a naplók proxynak való továbbításához. Győződjön meg arról, hogy a naplókat az 514-ös TCP-portra küldi a Linux-gép IP-címén.

Klarinét

Naplótovábbítás konfigurálása a CEF használatával.

  1. Lépjen a Konfiguráció menü Syslog szakaszára.
  2. Válassza a +Hozzáadás lehetőséget.
  3. Az Új syslog hozzáadása párbeszédpanelen adja meg a távoli kiszolgáló IP-címét, portot és protokollt.
  4. Válassza az Üzenetformátum CEF lehetőséget - .
  5. A Mentés gombra kattintva kiléphet a Syslog hozzáadása párbeszédpanelről.

Kontrasztvédelem

Konfigurálja a Kontrasztvédelem ügynököt az események syslogba való továbbításához az alábbiak szerint: https://docs.contrastsecurity.com/en/output-to-syslog.html. Hozzon létre néhány támadási eseményt az alkalmazáshoz.

CrowdStrike Falcon

Telepítse a CrowdStrike Falcon SIEM Collectort, hogy CEF formátumban továbbíthassa a syslog-üzeneteket a Microsoft Sentinel-munkaterületre a syslog-ügynökön keresztül.

  1. Kövesse ezeket az utasításokat a SIEM Collector üzembe helyezéséhez és a syslog továbbításához.
  2. Használja a Linux-eszköz IP-címét vagy gazdagépnevét a Cél IP-címként telepített Linux-ügynökkel.

CyberArk Enterprise Password Vault (EPV) események

Az EPV-n konfigurálja a dbparm.ini, hogy CEF formátumban küldjön syslog-üzeneteket a proxygépnek. Győződjön meg arról, hogy a naplókat az 514-ös TCP-portra küldi a gépek IP-címén.

Delinea titkos kiszolgáló

Állítsa be a biztonsági megoldást, hogy CEF formátumban küldjön syslog-üzeneteket a proxygépnek. Győződjön meg arról, hogy a naplókat a gép IP-címén lévő 514-ös TCP-portra küldi.

ExtraHop Reveal(x)

Állítsa be a biztonsági megoldást, hogy CEF formátumban küldjön syslog-üzeneteket a proxygépnek. Mindenképpen küldje el a naplókat az 514-ös TCP-portra a gép IP-címén.

  1. Kövesse az utasításokat az ExtraHop Detection SIEM Connector csomag telepítéséhez a Reveal(x) rendszeren. Az integrációhoz szükség van a SIEM-összekötőre .
  2. Engedélyezze az eseményindítót az ExtraHop Detection SIEM Connector – CEF számára.
  3. Frissítse az eseményindítót a létrehozott ODS syslog-célokkal. 

A Reveal(x) rendszer common event format (CEF) formátumban formázza a syslog-üzeneteket, majd adatokat küld a Microsoft Sentinelnek.

F5 Networks

Konfigurálja az F5-öt, hogy CEF formátumban továbbíthassa a syslog-üzeneteket a Microsoft Sentinel-munkaterületre a syslog-ügynökön keresztül.

Lépjen az F5 Alkalmazásbiztonsági eseménynaplózás konfigurálásához, és kövesse az utasításokat a távoli naplózás beállításához az alábbi irányelvek szerint:

  1. Állítsa a távoli tároló típusát CEF-re.
  2. Állítsa a Protokoll beállítást UDP értékre.
  3. Állítsa be az IP-címet a syslog-kiszolgáló IP-címére.
  4. Állítsa a portszámot 514-esre, vagy az ügynök által használt portra.
  5. Állítsa be a létesítményt a syslog-ügynökben konfiguráltra. Alapértelmezés szerint az ügynök ezt az értéket helyi4 értékre állítja.
  6. Beállíthatja a lekérdezési sztring maximális méretét úgy, hogy megegyezik a konfigurált értékével.

FireEye hálózati biztonság

Végezze el az alábbi lépéseket az adatok CEF használatával történő küldéséhez:

  1. Jelentkezzen be a FireEye berendezésbe egy rendszergazdai fiókkal.

  2. Válassza a Beállítások lehetőséget.

  3. Válassza az Értesítések lehetőséget. Válassza az rsyslog lehetőséget.

  4. Jelölje be az Esemény típusa jelölőnégyzetet.

  5. Győződjön meg arról, hogy az Rsyslog beállításai a következők:

    • Alapértelmezett formátum: CEF
    • Alapértelmezett kézbesítés: Eseményenként
    • Alapértelmezett küldés a következőként: Riasztás

Forcepoint CASB

Állítsa be a biztonsági megoldást, hogy CEF formátumban küldjön syslog-üzeneteket a proxygépnek. Győződjön meg arról, hogy a naplókat a gép IP-címén lévő 514-ös TCP-portra küldi.

Forcepoint CSG

Az integráció két megvalósítási lehetőséggel érhető el:

  1. Docker-rendszerképeket használ, ahol az integrációs összetevő már telepítve van az összes szükséges függőséggel. Kövesse az integrációs útmutató utasításait.
  2. Az integrációs összetevő manuális üzembe helyezését igényli egy tiszta Linux-gépen belül. Kövesse az integrációs útmutató utasításait.

Forcepoint NGFW

Állítsa be a biztonsági megoldást, hogy CEF formátumban küldjön syslog-üzeneteket a proxygépnek. Győződjön meg arról, hogy a naplókat a gép IP-címén lévő 514-ös TCP-portra küldi.

ForgeRock – gyakori naplózás a CEF-hez

A ForgeRockban telepítse és konfigurálja ezt a Microsoft Sentinelhez készült közös naplózást (CAUD) a következő dokumentáció szerint: https://github.com/javaservlets/SentinelAuditEventHandler. Ezután az Azure-ban kövesse a CEF AMA-adatösszekötőn keresztüli konfigurálásához szükséges lépéseket.

iboss

Állítsa be a fenyegetéskonzolt, hogy CEF formátumban küldjön syslog-üzeneteket az Azure-munkaterületre. Jegyezze fel a Log Analytics-munkaterületen belüli munkaterület azonosítóját és elsődleges kulcsát . Válassza ki a munkaterületet az Azure Portal Log Analytics-munkaterületek menüjéből. Ezután válassza az Ügynökök kezelése lehetőséget a Beállítások szakaszban.

  1. Lépjen az iboss konzolon a Reporting &Analitikához .
  2. Válassza a Log Forwarding>Forward from Reporter lehetőséget.
  3. Válassza a Műveletek>szolgáltatás hozzáadása lehetőséget.
  4. Váltson a Microsoft Sentinel szolgáltatástípusra, és adja meg a munkaterület azonosítóját/elsődleges kulcsát más feltételekkel együtt. Ha egy dedikált proxy Linux-gép van konfigurálva, váltson a Syslog szolgáltatástípusra, és konfigurálja a beállításokat úgy, hogy a dedikált Linux-proxyra mutasson.
  5. Várjon egy-két percet, amíg a beállítás befejeződik.
  6. Válassza ki a Microsoft Sentinel szolgáltatást, és ellenőrizze, hogy a Microsoft Sentinel beállítási állapota sikeres-e. Ha egy dedikált proxy Linux-gép van konfigurálva, ellenőrizheti a kapcsolatot.

Illumio Core

Konfigurálja az eseményformátumot.

  1. A PCE webkonzol menüjében válassza a Beállítások > eseménybeállítások lehetőséget az aktuális beállítások megtekintéséhez.
  2. A beállítások módosításához válassza a Szerkesztés lehetőséget.
  3. Eseményformátum beállítása CEF értékre.
  4. (Nem kötelező) Konfigurálja az esemény súlyosságát és a megőrzési időtartamot.

Konfigurálja az eseménytovábbítást egy külső syslog-kiszolgálóra.

  1. A PCE webkonzol menüjében válassza a Beállítások>eseménybeállítások lehetőséget.
  2. Válassza a Hozzáadás lehetőséget.
  3. Válassza az Adattár hozzáadása lehetőséget.
  4. Töltse ki az Adattár hozzáadása párbeszédpanelt.
  5. Kattintson az OK gombra az eseménytovábbítási konfiguráció mentéséhez.

Illusive Platform

  1. Állítsa be a biztonsági megoldást, hogy CEF formátumban küldjön syslog-üzeneteket a proxygépnek. Győződjön meg arról, hogy a naplókat a gép IP-címén lévő 514-ös TCP-portra küldi.

  2. Jelentkezzen be az Illusive Konzolra, és lépjen a Beállítások>jelentésére.

  3. Syslog-kiszolgálók keresése.

  4. Adja meg az alábbi adatokat:

    • Gazdagép neve: Linux Syslog-ügynök IP-címe vagy teljes tartományneve
    • Port: 514
    • Protokoll: TCP
    • Naplóüzenetek: Naplóüzenetek küldése kiszolgálóra

  5. A syslog-kiszolgáló hozzáadásához válassza a Hozzáadás lehetőséget.

Ha többet szeretne tudni arról, hogyan vehet fel új syslog-kiszolgálót az Illusive platformon, tekintse meg az Illusive Networks felügyeleti útmutatót itt: https://support.illusivenetworks.com/hc/en-us/sections/360002292119-Documentation-by-Version

Imperva WAF-átjáró

Ehhez az összekötőhöz létre kell hozni egy műveleti felületet és műveletkészletet az Imperva SecureSphere MX-en. A követelmények létrehozásához kövesse az alábbi lépéseket .

  1. Hozzon létre egy új műveleti felületet , amely tartalmazza a WAF-riasztások Microsoft Sentinelnek való küldéséhez szükséges paramétereket.
  2. Hozzon létre egy új műveletkészletet , amely a konfigurált műveleti felületet használja.
  3. Alkalmazza a műveletkészletet azokra a biztonsági szabályzatokra, amelyekre riasztásokat szeretne küldeni a Microsoft Sentinelnek.

Infoblox Cloud Data Connector

Hajtsa végre az alábbi lépéseket az Infoblox CDC konfigurálásához, hogy BloxOne-adatokat küldjön a Microsoft Sentinelnek a Linux syslog-ügynökön keresztül.

  1. Navigáljon az Adatösszekötő kezelése elemre>.
  2. Válassza felül a Célkonfiguráció lapot.
  3. Válassza a Syslog létrehozása lehetőséget>.
    • Név: Adjon egy értelmes nevet az új célhelynek, például a Microsoft-Sentinel-Destination névnek.
    • Leírás: Igény szerint adjon meg egy kifejező leírást.
    • Állapot: Állítsa be az állapotot engedélyezve.
    • Formátum: Állítsa a formátumot CEF formátumra.
    • Teljes tartománynév/IP: Adja meg annak a Linux-eszköznek az IP-címét, amelyre a Linux-ügynök telepítve van.
    • Port: Hagyja meg a portszámot 514-nél.
    • Protokoll: Válassza ki a kívánt protokollt és a ca-tanúsítványt, ha van.
    • Válassza a Mentés és bezárás lehetőséget.
  4. Válassza a felül található Traffic Flow Configuration lapot.
  5. Válassza a Létrehozás lehetőséget.
    • Név: Adjon értelmes nevet az új Traffic Flow-nak, például a Microsoft-Sentinel-Flow-nak.
    • Leírás: Igény szerint adjon meg egy kifejező leírást.
    • Állapot: Állítsa be az állapotot engedélyezve.
    • Bontsa ki a Szolgáltatáspéldány szakaszt .
      • Szolgáltatáspéldány: Válassza ki azt a kívánt szolgáltatáspéldányt, amelyhez engedélyezve van a Data Connector szolgáltatás.
    • Bontsa ki a Forráskonfiguráció szakaszt.
      • Forrás: Válassza a BloxOne Cloud Source lehetőséget.
      • Válassza ki az összes összegyűjteni kívánt naplótípust . Jelenleg támogatott naplótípusok:
        • Threat Defense lekérdezés/válasznapló
        • Threat Defense Threat Feeds Hits Log
        • DDI-lekérdezés/válasznapló
        • DDI DHCP-bérletnapló
    • Bontsa ki a Célkonfiguráció szakaszt.
      • Válassza ki a létrehozott célhelyet .
    • Válassza a Mentés és bezárás lehetőséget.
  6. A konfiguráció aktiválásának engedélyezése egy ideig.

Infoblox SOC Insights

Hajtsa végre az alábbi lépéseket az Infoblox CDC konfigurálásához, hogy BloxOne-adatokat küldjön a Microsoft Sentinelnek a Linux syslog-ügynökön keresztül.

  1. Navigáljon az Adatösszekötő kezelése elemre>.
  2. Válassza felül a Célkonfiguráció lapot.
  3. Válassza a Syslog létrehozása lehetőséget>.
    • Név: Adjon egy értelmes nevet az új célhelynek, például a Microsoft-Sentinel-Destination névnek.
    • Leírás: Igény szerint adjon meg egy kifejező leírást.
    • Állapot: Állítsa be az állapotot engedélyezve.
    • Formátum: Állítsa a formátumot CEF formátumra.
    • Teljes tartománynév/IP: Adja meg annak a Linux-eszköznek az IP-címét, amelyre a Linux-ügynök telepítve van.
    • Port: Hagyja meg a portszámot 514-nél.
    • Protokoll: Válassza ki a kívánt protokollt és a ca-tanúsítványt, ha van.
    • Válassza a Mentés és bezárás lehetőséget.
  4. Válassza a felül található Traffic Flow Configuration lapot.
  5. Válassza a Létrehozás lehetőséget.
    • Név: Adjon értelmes nevet az új Traffic Flow-nak, például a Microsoft-Sentinel-Flow-nak.
    • Leírás: Igény szerint adjon meg egy kifejező leírást.
    • Állapot: Állítsa be az állapotot engedélyezve.
    • Bontsa ki a Szolgáltatáspéldány szakaszt .
      • Szolgáltatáspéldány: Válassza ki azt a kívánt szolgáltatáspéldányt, amelyhez engedélyezve van az adatösszekötő szolgáltatás.
    • Bontsa ki a Forráskonfiguráció szakaszt.
      • Forrás: Válassza a BloxOne Cloud Source lehetőséget.
      • Válassza ki a belső értesítések naplótípusát.
    • Bontsa ki a Célkonfiguráció szakaszt.
      • Válassza ki a létrehozott célhelyet .
    • Válassza a Mentés és bezárás lehetőséget.
  6. A konfiguráció aktiválásának engedélyezése egy ideig.

KasperskySecurityCenter

Kövesse az utasításokat az eseményexportálás konfigurálásához a Kaspersky Security Centerből.

Morphisec

Állítsa be a biztonsági megoldást, hogy CEF formátumban küldjön syslog-üzeneteket a proxygépnek. Győződjön meg arról, hogy a naplókat a gép IP-címén lévő 514-ös TCP-portra küldi.

Netwrix Auditor

Kövesse az utasításokat a Netwrix Auditor eseményexportálásának konfigurálásához.

NozomiNetworks

Hajtsa végre az alábbi lépéseket a Nozomi Networks eszköz konfigurálásához riasztások, naplózás és állapotnaplók cef formátumban történő küldéséhez a syslogon keresztül:

  1. Jelentkezzen be a Guardian konzolra.
  2. Lépjen a Felügyelet> adatintegráció elemre.
  3. Válassza a +Hozzáadás lehetőséget.
  4. Válassza ki a Common Event Format (CEF) (Common Event Format, CEF) elemet a legördülő listából.
  5. Hozzon létre új végpontot a megfelelő gazdagépadatok használatával.
  6. Riasztások, naplók és állapotnaplók engedélyezése küldéshez.

Onapsis Platform

Tekintse meg az Onapsis terméken belüli súgóját a naplótovábbítás beállításához a syslog-ügynöknek.

  1. Lépjen a Külső integrációk>beállítása>– Riasztások védelme elemre, és kövesse a Microsoft Sentinel utasításait.

  2. Győződjön meg arról, hogy az Onapsis-konzol eléri azt a proxygépet, amelyen az ügynök telepítve van. A naplókat TCP használatával kell elküldeni az 514-ös portra.

OSSEC

Az alábbi lépéseket követve konfigurálhatja az OSSEC-riasztások syslogon keresztüli küldését.

Palo Alto - XDR (Cortex)

Konfigurálja a Palo Alto XDR -t (Cortex) cef formátumban a Microsoft Sentinel-munkaterületre a syslog-ügynökön keresztül.

  1. Nyissa meg a Cortex beállításait és konfigurációit.
  2. Válassza ki az Új kiszolgáló hozzáadását a Külső alkalmazások területen.
  3. Ezután adja meg a syslog-kiszolgáló nevét és nyilvános IP-címét a Cél mezőben.
  4. Adja meg a portszámot 514-ként.
  5. A Létesítmény mezőben válassza FAC_SYSLOG a legördülő listából.
  6. Válassza a Protokoll UDP-ként lehetőséget.
  7. Válassza a Létrehozás lehetőséget.

PaloAlto-PAN-OS

Konfigurálja a Palo Alto Networkst, hogy CEF formátumban továbbíthassa a syslog-üzeneteket a Microsoft Sentinel-munkaterületre a syslog-ügynökön keresztül.

  1. Nyissa meg a Palo Alto Networks NGFW konfigurálását CEF-események küldéséhez.

  2. Nyissa meg a Palo Alto CEF-konfigurációt és a Palo Alto Configure Syslog Monitorozási lépéseket 2. és 3. lépésben, válassza ki a verziót, és kövesse az alábbi útmutatást:

    1. A Syslog-kiszolgáló formátumának beállítása BSD-re.
    2. Másolja a szöveget egy szerkesztőbe, és a beillesztés előtt távolítsa el azokat a karaktereket, amelyek megszakíthatják a naplófájl formátumát. A PDF másolási/beillesztési műveletei megváltoztathatják a szöveget, és véletlenszerű karaktereket szúrhatnak be.

További információ

PaloAltoCDL

Kövesse az utasításokat a naplók Cortex Data Lake-ből syslog-kiszolgálóra való továbbításának konfigurálásához.

PingFederate

Az alábbi lépéseket követve konfigurálhatja a PingFederate naplózási naplójának cef formátumban történő syslogon keresztüli konfigurálását.

RidgeSecurity

Konfigurálja a RidgeBotot, hogy eseményeket továbbítson a syslog-kiszolgálónak az itt leírtak szerint. Hozzon létre néhány támadási eseményt az alkalmazáshoz.

SonicWall tűzfal

Állítsa be a SonicWall tűzfalat, hogy CEF formátumban küldjön syslog-üzeneteket a proxygépnek. Győződjön meg arról, hogy a naplókat a gép IP-címén lévő 514-ös TCP-portra küldi.

Kövesse az utasításokat. Ezután győződjön meg arról, hogy a helyi 4-et választja létesítményként. Ezután válassza az ArcSightot a syslog formátumként.

Trend Micro Apex One

Ezeket a lépéseket követve konfigurálhatja az Apex Central riasztásokat a syslogon keresztül. A konfigurálás során a 6. lépésben válassza ki a CEF naplóformátumot.

Trend Micro Deep Security

Állítsa be a biztonsági megoldást, hogy CEF formátumban küldjön syslog-üzeneteket a proxygépnek. Mindenképpen küldje el a naplókat az 514-ös TCP-portra a gép IP-címén.

  1. Trend Micro Deep Security-események továbbítása a syslog-ügynöknek.
  2. Adjon meg egy új syslog-konfigurációt, amely a CEF formátumot használja. Ehhez a tudásbáziscikkhez további információt talál.
  3. Konfigurálja a Deep Security Managert úgy, hogy ezzel az új konfigurációval továbbítsa az eseményeket a syslog-ügynöknek az alábbi utasítások használatával.
  4. Mentse a TrendMicroDeepSecurity függvényt, hogy megfelelően lekérdezhesse a Trend Micro Deep Security adatait.

Trend Micro TippingPoint

Állítsa be a TippingPoint SMS-t a syslog-üzenetek ArcSight CEF 4.2-es formátumban való küldésére a proxygépre. Győződjön meg arról, hogy a naplókat a gép IP-címén lévő 514-ös TCP-portra küldi.

vArmour alkalmazásvezérlő

Syslog-üzenetek küldése CEF formátumban a proxygépnek. Győződjön meg arról, hogy a naplókat a gép IP-címén lévő 514-ös TCP-portra küldi.

Töltse le a felhasználói útmutatót innen https://support.varmour.com/hc/en-us/articles/360057444831-vArmour-Application-Controller-6-0-User-Guide: . A felhasználói útmutatóban tekintse meg a "Syslog konfigurálása monitorozáshoz és szabálysértésekhez" című témakört, és kövesse az 1–3. lépést.

Vectra AI-észlelés

Konfigurálja a Vectra (X Series) ügynököt, hogy CEF formátumban továbbíthassa a syslog-üzeneteket a Microsoft Sentinel-munkaterületre a syslog-ügynökön keresztül.

A Vectra felhasználói felületén keresse meg a Beállítások > értesítéseket, és szerkessze a syslog konfigurációját. A kapcsolat beállításához kövesse az alábbi utasításokat:

  1. Adjon hozzá egy új célhelyet (ez az a gazdagép, amelyen a Microsoft Sentinel syslog-ügynök fut).
  2. Állítsa be a portot 514-nek.
  3. Állítsa be a protokollt UDP-ként.
  4. Állítsa be a formátumot CEF formátumra.
  5. Naplótípusok beállítása. Válassza ki az összes elérhető naplótípust.
  6. Válassza a Mentés lehetőséget.
  7. A Teszt gombra kattintva elküldhet néhány teszteseményt.

További információ: Cognito Detect Syslog Guide, amely letölthető az erőforrásoldalról a Detect felhasználói felületen.

Votiro

Állítsa be a Votiro-végpontokat, hogy CEF formátumban küldjenek syslog-üzeneteket a továbbító gépnek. Győződjön meg arról, hogy a naplókat az 514-ös TCP-portra küldi a továbbító gép IP-címén.

WireX Network Forensics Platform

Lépjen kapcsolatba a WireX ügyfélszolgálatával (https://wirexsystems.com/contact-us/), hogy konfigurálja az NFP-megoldást, hogy CEF formátumban küldjön syslog-üzeneteket a proxygépnek. Győződjön meg arról, hogy a központi kezelő elküldi a naplókat az 514-ös TCP-portra a gép IP-címén.

WithSecure Elements via Connector

Csatlakoztassa a WithSecure Elements Connector-berendezést a Microsoft Sentinelhez. A WithSecure Elements Connector adatösszekötővel egyszerűen csatlakoztathatja a WithSecure Elements-naplókat a Microsoft Sentinellel, megtekintheti az irányítópultokat, egyéni riasztásokat hozhat létre, és javíthatja a vizsgálatot.

Feljegyzés

Az adatokat annak a munkaterületnek a földrajzi helyén tárolja a rendszer, amelyen a Microsoft Sentinelt futtatja.

Konfigurálja a Secure Elements-összekötőt, hogy CEF formátumban továbbíthassa a syslog-üzeneteket a Log Analytics-munkaterületre a syslog-ügynökön keresztül.

  1. Válasszon vagy hozzon létre egy Linux rendszerű gépet a Microsoft Sentinel számára, amely proxyként használható a WithSecurity-megoldás és a Microsoft Sentinel között. A gép lehet helyszíni környezet, Microsoft Azure vagy más felhőalapú környezet. A Linuxnak rendelkeznie syslog-ng kell és python/python3 telepítenie kell.
  2. Telepítse az Azure Monitoring Agentet (AMA) a Linux rendszerű gépére, és konfigurálja a gépet a szükséges port figyelésére, és küldje el az üzeneteket a Microsoft Sentinel-munkaterületre. A CEF-gyűjtő cef-üzeneteket gyűjt az 514-ös TCP-porton. Emelt szintű engedélyekkel (sudo) kell rendelkeznie a gépen.
  3. Nyissa meg az EPP-t a WithSecure Elements portálon. Ezután lépjen a Letöltések elemre. Az Elemösszekötő szakaszban válassza az Előfizetési kulcs létrehozása lehetőséget. Az előfizetési kulcsot az Előfizetések területen ellenőrizheti.
  4. A WithSecure Elements Connector letöltési szakaszában válassza ki a megfelelő telepítőt, és töltse le.
  5. Az EPP-ben nyissa meg a fiókbeállításokat a jobb felső sarokban. Ezután válassza a Felügyeleti API-kulcs lekérése lehetőséget. Ha a kulcs korábban lett létrehozva, ott is olvasható.
  6. Az Elemösszekötő telepítéséhez kövesse az Elements Connector Docs parancsot.
  7. Ha az API-hozzáférés nincs konfigurálva a telepítés során, kövesse az API-hozzáférés konfigurálását az Elements Connectorhoz.
  8. Nyissa meg az EPP-t, majd a Profilok lehetőséget, majd használja az Összekötőkhöz lehetőséget, ahol láthatja az összekötőprofilokat. Új profil létrehozása (vagy meglévő, nem írásvédett profil szerkesztése). Eseménytovábbítás esetén engedélyezze azt. SIEM rendszercím beállítása: 127.0.0.1:514. Állítsa be a formátumot a Common Event Format (Gyakori eseményformátum) értékre. A protokoll TCP. Mentse a profilt, és rendelje hozzá az Elemek összekötőhöz az Eszközök lapon.
  9. Ha a Megfelelő sémát szeretné használni a Log Analyticsben a WithSecure Elements-összekötőhöz, keresse meg a CommonSecurityLogot.
  10. Folytassa a CEF-kapcsolat érvényesítésével.

Zscaler

Állítsa be a Zscaler-terméket, hogy CEF formátumban küldjön syslog-üzeneteket a syslog-ügynöknek. Mindenképpen küldje el a naplókat az 514-ös TCP-porton.

További információ: Zscaler Microsoft Sentinel integrációs útmutató.

Kapcsolódó tartalom