Rugalmas ügynök (önálló) összekötő a Microsoft Sentinelhez
Az Elastic Agent adatösszekötő lehetővé teszi az Elastic Agent-naplók, metrikák és biztonsági adatok Microsoft Sentinelbe való betöltését.
Ez automatikusan létrehozott tartalom. A módosításokért forduljon a megoldásszolgáltatóhoz.
Csatlakozás or attribútumok
| Csatlakozás or attribútum | Leírás |
|---|---|
| Log Analytics-tábla(ok) | ElasticAgentLogs_CL |
| Adatgyűjtési szabályok támogatása | Jelenleg nem támogatott |
| Támogatja: | Microsoft Corporation |
Példák lekérdezésekre
A 10 legjobb eszköz
ElasticAgentEvent
| summarize count() by DvcIpAddr
| top 10 by count_
Előfeltételek
A Rugalmas ügynökkel (önálló) való integrációhoz győződjön meg arról, hogy a következőkkel rendelkezik:
- Egyéni előfeltételek belefoglalása, ha a kapcsolat megköveteli – másként törölje a vámokat: Az egyéni előfeltételek leírása
Szállító telepítési útmutatója
Feljegyzés
Ez az adatösszekötő egy Kusto-függvényen alapuló elemzőtől függ, amely a Várt ElasticAgentEventnek megfelelően működik, amelyet a Microsoft Sentinel Megoldással helyez üzembe.
Feljegyzés
Ezt az adatösszekötőt az Elastic Agent 7.14 használatával fejlesztettük ki.
- Az ügynök telepítése és előkészítése Linux vagy Windows rendszeren
Telepítse az ügynököt arra a kiszolgálóra, ahol a rugalmas ügynök naplói továbbításra kerülnek.
A Linux- vagy Windows-kiszolgálókon üzembe helyezett rugalmas ügynökök naplóit Linux- vagy Windows-ügynökök gyűjtik.
- Rugalmas ügynök konfigurálása (önálló)
Kövesse az utasításokat az Elastic Agent logstash-kimenetre való konfigurálásához
- A Logstash konfigurálása a Microsoft Logstash kimeneti beépülő modul használatára
Kövesse a lépéseket a Logstash konfigurálásához a microsoft-logstash-output-azure-loganalytics beépülő modul használatához:
3.1) Ellenőrizze, hogy a beépülő modul már telepítve van-e:
./logstash-plugin lista | grep "azure-loganalytics" (ha a beépülő modul telepítve van, lépjen a 3.3. lépéshez)
3.2) Telepítse a beépülő modult:
./logstash-plugin install microsoft-logstash-output-azure-loganalytics
3.3) A Logstash konfigurálása a beépülő modul használatára
- Naplóbetöltés ellenőrzése
Kövesse az utasításokat a kapcsolat ellenőrzéséhez:
Nyissa meg a Log Analyticst annak ellenőrzéséhez, hogy a naplók a 3.3. lépésben megadott egyéni táblával érkeznek-e (például ElasticAgentLogs_CL).
Ez körülbelül 30 percet vehet igénybe, amíg a kapcsolat adatokat továbbít a munkaterületre.
Következő lépések
További információ: a kapcsolódó megoldás az Azure Marketplace-en.
Visszajelzés
Hamarosan elérhető: 2024-ben fokozatosan kivezetjük a GitHub-problémákat a tartalom visszajelzési mechanizmusaként, és lecseréljük egy új visszajelzési rendszerre. További információ: https://aka.ms/ContentUserFeedback.
Visszajelzés küldése és megtekintése a következőhöz: