Megosztás a következőn keresztül:

Syslog az AMA-adatösszekötőn keresztül – Adott berendezés vagy eszköz konfigurálása a Microsoft Sentinel-adatok betöltéséhez

  • Cikk

A Syslog számos biztonsági berendezés és eszköz naplógyűjtését támogatja a Microsoft Sentinel AMA-adatösszekötőjével . Ez a cikk felsorolja az adatösszekötőt használó egyes biztonsági berendezésekre és eszközökre vonatkozó szolgáltatói telepítési utasításokat. Frissítésekért, további információkért vagy a biztonsági berendezéshez vagy eszközhöz nem elérhető információkért forduljon a szolgáltatóhoz.

Ha adatokat szeretne továbbítani a Log Analytics-munkaterületre a Microsoft Sentinelhez, végezze el az Ingest syslog és CEF üzenetek lépéseit a Microsoft Sentinelnek az Azure Monitor-ügynökkel. A lépések elvégzése során telepítse a Syslogot az AMA adatösszekötőn keresztül a Microsoft Sentinelben. Ezután a megfelelő szolgáltató utasításait követve végezze el a telepítést.

Az egyes készülékekhez vagy eszközökhöz kapcsolódó Microsoft Sentinel-megoldással kapcsolatos további információkért keresse meg az Azure Marketplace-en a terméktípus-megoldássablonokat>, vagy tekintse át a megoldást a Microsoft Sentinel tartalomközpontjából.

Barracuda CloudGen tűzfal

Kövesse az utasításokat a syslog-stream konfigurálásához. Használja a Linux-gép IP-címét vagy gazdagépnevét a Cél IP-címhez telepített Microsoft Sentinel-ügynökkel .

Blackberry CylancePROTECT

Kövesse ezeket az utasításokat a CylancePROTECT konfigurálásához a syslog továbbításához. Használja a Linux-eszköz IP-címét vagy gazdagépnevét a Cél IP-címként telepített Linux-ügynökkel .

Cisco Application Centric Infrastructure (ACI)

Konfigurálja a Cisco ACI-rendszert, hogy syslogon keresztül küldjön naplókat annak a távoli kiszolgálónak, ahol az ügynököt telepíti. Az alábbi lépések végrehajtásával konfigurálhatja a Syslog-célhelyet, a célcsoportot és a Syslog-forrást.

Ezt az adatösszekötőt a Cisco ACI 1.x kiadásával fejlesztettük ki.

Cisco Identity Services Engine (ISE)

Az alábbi utasításokat követve konfigurálhatja a távoli syslog-gyűjtési helyeket a Cisco ISE üzemelő példányában.

Cisco Stealthwatch

A Cisco Stealthwatch-naplók Microsoft Sentinelbe való beolvasásához hajtsa végre az alábbi konfigurációs lépéseket.

  1. Jelentkezzen be rendszergazdaként a Stealthwatch felügyeleti konzolra (SMC).

  2. A menüsávon válassza a Configuration Response Management (Konfigurációkezelés>) lehetőséget.

  3. A Válaszkezelés menü Műveletek szakaszában válassza a Syslog-üzenet hozzáadása > lehetőséget.

  4. A Syslog üzenetművelet hozzáadása ablakban konfigurálja a paramétereket.

  5. Adja meg a következő egyéni formátumot:

    |Lancope|Stealthwatch|7.3|{alarm_type_id}|0x7C|src={source_ip}|dst={target_ip}|dstPort={port}|proto={protocol}|msg={alarm_type_description}|fullmessage={details}|start={start_active_time}|end={end_active_time}|cat={alarm_category_name}|alarmID={alarm_id}|sourceHG={source_host_group_names}|targetHG={target_host_group_names}|sourceHostSnapshot={source_url}|targetHostSnapshot={target_url}|flowCollectorName={device_name}|flowCollectorIP={device_ip}|domain={domain_name}|exporterName={exporter_hostname}|exporterIPAddress={exporter_ip}|exporterInfo={exporter_label}|targetUser={target_username}|targetHostname={target_hostname}|sourceUser={source_username}|alarmStatus={alarm_status}|alarmSev={alarm_severity_name}

  6. Válassza ki az egyéni formátumot a listából, és kattintson az OK gombra.

  7. Válassza a Válaszkezelési > szabályok lehetőséget.

  8. Válassza a Hozzáadás és a gazdariasztás lehetőséget.

  9. Adjon meg egy szabálynevet a Név mezőben.

  10. Szabályok létrehozása a Típus és a Beállítások menüben lévő értékek kiválasztásával. További szabályok hozzáadásához válassza a három pont ikont. Gazdagépriasztás esetén a lehető legtöbb lehetséges típust egyesítse egy utasításban.

Ez az adatösszekötő a Cisco Stealthwatch 7.3.2-es verziójával lett kifejlesztve

Cisco Unified Computing Systems (UCS)

Az alábbi utasításokat követve konfigurálhatja a Cisco UCS-t a syslog továbbításához. Használja a Linux-eszköz IP-címét vagy gazdagépnevét a Cél IP-címként telepített Linux-ügynökkel .

Feljegyzés

Az adatösszekötő funkciója egy Kusto-függvényalapú elemzőre támaszkodik, amely a művelet szerves részét képezi. Ez az elemző a megoldástelepítés részeként van üzembe helyezve.

Frissítse az elemzőt, és adja meg az elemző első sorában a naplókat továbbító forrásgépek állomásnevét.

A Log Analytics függvénykódjának eléréséhez keresse meg a Log Analytics/Microsoft Sentinel-naplók szakaszt, válassza a Functions lehetőséget, és keresse meg a CiscoUCS aliast. Másik lehetőségként töltse be közvetlenül a függvénykódot. A frissítés a telepítés után körülbelül 15 percet vehet igénybe.

Cisco Web Security Appliance (WSA)

Konfigurálja a Cisco-t a naplók syslogon keresztüli továbbítására arra a távoli kiszolgálóra, ahol az ügynököt telepíti. Az alábbi lépések végrehajtásával konfigurálhatja a Cisco WSA-t a naplók Syslogon keresztüli továbbítására

Válassza a Syslog Push elemet lekéréses módszerként.

Ez az adatösszekötő a Cisco Web Security Appliance AsyncOS 14.0-val lett kifejlesztve

Citrix alkalmazáskézbesítési vezérlő (ADC)

Konfigurálja a Citrix ADC-t (korábbi NetScaler) a naplók Syslogon keresztüli továbbítására.

  1. Navigáljon a Konfiguráció lap > Rendszernaplózási > > syslog-kiszolgálók > lapjára
  2. Adja meg a Syslog művelet nevét.
  3. Állítsa be a távoli Syslog-kiszolgáló és -port IP-címét.
  4. A távoli syslog-kiszolgáló konfigurációjától függően állítsa be az átviteli típust TCP-ként vagy UDP-ként.
  5. További információkért tekintse meg a Citrix ADC (korábbi NetScaler) dokumentációját.

Feljegyzés

Az adatösszekötő funkciója egy Kusto-függvényalapú elemzőre támaszkodik, amely a művelet szerves részét képezi. Ez az elemző a megoldástelepítés részeként van üzembe helyezve. A Log Analytics függvénykódjának eléréséhez keresse meg a Log Analytics/Microsoft Sentinel-naplók szakaszt, válassza a Functions lehetőséget, és keresse meg a CitrixADCEvent aliast. Másik lehetőségként közvetlenül is betöltheti a függvénykódot. A frissítés a telepítés után körülbelül 15 percet vehet igénybe.

Ehhez az elemzőhöz egy figyelőlistára Sources_by_SourceTypevan szükség.

i. Ha még nem hozott létre figyelőlistát, hozzon létre egy figyelőlistát a Microsoft Sentinelből az Azure Portalon.

ii. Nyissa meg a figyelőlistát Sources_by_SourceType , és adjon hozzá bejegyzéseket ehhez az adatforráshoz.

ii. A CitrixADC SourceType értéke.CitrixADC További információ: Advanced Security Information Model (ASIM) elemzők kezelése.

Digital Guardian adatveszteség-megelőzés

Hajtsa végre az alábbi lépéseket a Digital Guardian konfigurálásához a naplók Syslogon keresztüli továbbításához:

  1. Jelentkezzen be a Digital Guardian felügyeleti konzolra.
  2. Válassza a Munkaterület>adatexportálási>exportálása exportálása lehetőséget.
  3. Az Adatforrások listában válassza a Riasztások vagy események lehetőséget adatforrásként.
  4. Az Exportálás típuslistájában válassza a Syslog lehetőséget.
  5. A Típus listában válassza az UDP vagy a TCP elemet átviteli protokollként.
  6. A Kiszolgáló mezőbe írja be a távoli syslog-kiszolgáló IP-címét.
  7. A Port mezőbe írja be az 514-es értéket (vagy más portot, ha a syslog-kiszolgáló nem hibás port használatára lett konfigurálva).
  8. A Súlyossági szint listában válasszon ki egy súlyossági szintet.
  9. Jelölje be az Aktív jelölőnégyzetet.
  10. Válassza a Tovább lehetőséget.
  11. Az elérhető mezők listájában adja hozzá az adatexportáláshoz tartozó Riasztás vagy Esemény mezőket.
  12. Válasszon ki egy feltételt az adatexportálás mezőihez és a Tovább értékhez.
  13. Válasszon egy csoportot a feltételhez és a Tovább gombra.
  14. Válassza a Lekérdezés tesztelése lehetőséget.
  15. Válassza a Tovább lehetőséget.
  16. Mentse az adatexportálást.

ESET Protect integráció

Konfigurálja az ESET PROTECT-et az összes esemény Syslogon keresztüli küldéséhez.

  1. A syslog kimenetének konfigurálásához kövesse az alábbi utasításokat . Ügyeljen arra, hogy a BSD formátumot és a TCP-t válassza átvitelként.
  2. Az alábbi utasításokat követve exportálhatja az összes naplót a syslogba. Kimeneti formátumként válassza a JSON-t .

Exabeam Advanced Analytics

Kövesse ezeket az utasításokat az Exabeam Advanced Analytics tevékenységnapló-adatainak syslogon keresztüli küldéséhez.

Ez az adatösszekötő az Exabeam Advanced Analytics i54 (Syslog) használatával lett kifejlesztve

Forescout

A Forescout-naplók Microsoft Sentinelbe való beolvasásához hajtsa végre az alábbi lépéseket.

  1. Válasszon egy konfigurálni kívánt berendezést.
  2. Az alábbi utasításokat követve továbbíthatja a riasztásokat a Forescout platformról egy syslog-kiszolgálóra.
  3. Konfigurálja a beállításokat a Syslog-eseményindítók lapon.

Ez az adatösszekötő a Forescout Syslog Beépülő modul 3.6-os verziójával lett kifejlesztve

Gitlab

Kövesse ezeket az utasításokat a Gitlab naplózási naplóadatainak syslogon keresztüli küldéséhez.

ISC-kötés

  1. Kövesse az alábbi utasításokat az ISC-kötés konfigurálásához a syslog továbbításához: DNS-naplók.
  2. Konfigurálja a syslogot a syslog-forgalom ügynöknek való elküldéséhez. Használja a Linux-eszköz IP-címét vagy gazdagépnevét a Cél IP-címként telepített Linux-ügynökkel .

Infoblox Network Identity Operating System (NIOS)

Kövesse ezeket az utasításokat az Infoblox NIOS-naplók syslog-továbbításának engedélyezéséhez. Használja a Linux-eszköz IP-címét vagy gazdagépnevét a Cél IP-címként telepített Linux-ügynökkel .

Feljegyzés

Az adatösszekötő funkciója egy Kusto-függvényalapú elemzőre támaszkodik, amely a művelet szerves részét képezi. Ez az elemző a megoldástelepítés részeként van üzembe helyezve.

A Log Analytics függvénykódjának eléréséhez keresse meg a Log Analytics/Microsoft Sentinel-naplók szakaszt, válassza a Functions lehetőséget, és keresse meg az infoblox aliast. Másik lehetőségként közvetlenül is betöltheti a függvénykódot. A frissítés a telepítés után körülbelül 15 percet vehet igénybe.

Ehhez az elemzőhöz egy figyelőlistára Sources_by_SourceTypevan szükség.

i. Ha még nem hozott létre figyelőlistát, hozzon létre egy figyelőlistát a Microsoft Sentinelből az Azure Portalon.

ii. Nyissa meg a figyelőlistát Sources_by_SourceType , és adjon hozzá bejegyzéseket ehhez az adatforráshoz.

ii. Az InfobloxNIOS SourceType értéke.InfobloxNIOS

További információ: Advanced Security Information Model (ASIM) elemzők kezelése.

Ivanti Unified Endpoint Management

Kövesse az utasításokat a riasztási műveletek beállításához, hogy naplókat küldjön a syslog-kiszolgálónak.

Ez az adatösszekötő az Ivanti Unified Endpoint Management Release 2021.1 11.0.3.374-es verziójával lett kifejlesztve

Juniper SRX

  1. A következő utasításokat követve konfigurálja a Juniper SRX-et a syslog továbbítására:

  2. Használja a Linux-eszköz IP-címét vagy gazdagépnevét a Cél IP-címként telepített Linux-ügynökkel .

McAfee hálózati biztonsági platform

A McAfee® Network Security Platform-naplók Microsoft Sentinelbe való beolvasásához hajtsa végre az alábbi konfigurációs lépéseket.

  1. Riasztások továbbítása a kezelőtől egy syslog-kiszolgálóra.

  2. Hozzá kell adnia egy syslog-értesítési profilt. Profil létrehozásakor az események megfelelő formázásának biztosításához írja be a következő szöveget az Üzenet szövegmezőbe:

    <SyslogAlertForwarderNSP>:|SENSOR_ALERT_UUID|ALERT_TYPE|ATTACK_TIME|ATTACK_NAME|ATTACK_ID |ATTACK_SEVERITY|ATTACK_SIGNATURE|ATTACK_CONFIDENCE|ADMIN_DOMAIN|SENSOR_NAME|INTERFACE |SOURCE_IP|SOURCE_PORT|DESTINATION_IP|DESTINATION_PORT|CATEGORY|SUB_CATEGORY |DIRECTION|RESULT_STATUS|DETECTION_MECHANISM|APPLICATION_PROTOCOL|NETWORK_PROTOCOL|

Ez az adatösszekötő a McAfee® Network Security Platform 10.1.x-es verziójával lett kifejlesztve.

McAfee ePolicy Orchestrator

A syslog-kiszolgáló regisztrálásához forduljon a szolgáltatóhoz.

Microsoft Sysmon For Linux

Ez az adatösszekötő a Kusto-függvényeken alapuló ASIM-elemzőktől függ, hogy a várt módon működjön. Helyezze üzembe az elemzőket.

A következő függvények vannak üzembe helyezve:

  • vimFileEventLinuxSysmonFileCreated, vimFileEventLinuxSysmonFileDeleted
  • vimProcessCreateLinuxSysmon, vimProcessTerminateLinuxSysmon
  • vimNetworkSessionLinuxSysmon

További információ

Nasuni

A Nasuni felügyeleti konzol útmutatójában található utasításokat követve konfigurálhatja a Nasuni Edge-berendezéseket a syslog-események továbbításához. A syslog beállításaihoz használja az Azure Monitor Agentet futtató Linux-eszköz IP-címét vagy gazdagépnevét a Kiszolgálók konfigurációs mezőben.

OpenVPN

Telepítse az ügynököt arra a kiszolgálóra, amelyen az OpenVPN továbbításra kerül. Az OpenVPN-kiszolgálónaplók közös syslog-fájlba vannak beírva (a használt Linux-disztribúciótól függően: pl. /var/log/messages).

Oracle-adatbázis naplózása

Hajtsa végre a következő lépéseket.

  1. Az Oracle-adatbázis létrehozása Kövesse az alábbi lépéseket.
  2. Jelentkezzen be a létrehozott Oracle-adatbázisba. Hajtsa végre az alábbi lépéseket.
  3. Engedélyezze az egységes naplózást a syslogon keresztül a rendszer módosításával az egységes naplózás engedélyezéséhez Az alábbi lépések végrehajtásával.
  4. Hozzon létre és engedélyezze a naplózási szabályzatot az egységes naplózáshoz Kövesse az alábbi lépéseket.
  5. A syslog és a Eseménynapló Captures engedélyezéséhez kövesse az alábbi lépéseket.

Pulse Connect Secure

Kövesse az utasításokat a Pulse Connect Secure-naplók syslog-streamelésének engedélyezéséhez. Használja a Linux-eszköz IP-címét vagy gazdagépnevét a Cél IP-címként telepített Linux-ügynökkel .

Feljegyzés

Az adatösszekötő funkciója egy Kusto-függvényalapú elemzőre támaszkodik, amely a művelet szerves részét képezi. Ez az elemző a megoldástelepítés részeként van üzembe helyezve.

Frissítse az elemzőt, és adja meg az elemző első sorában a naplókat továbbító forrásgépek állomásnevét.

A Log Analytics függvénykódjának eléréséhez keresse meg a Log Analytics/Microsoft Sentinel-naplók szakaszt, válassza a Functions lehetőséget, és keresse meg a PulseConnectSecure aliast. Másik lehetőségként töltse be közvetlenül a függvénykódot. A frissítés a telepítés után körülbelül 15 percet vehet igénybe.

RSA SecurID

Hajtsa végre az alábbi lépéseket az RSA® SecurID Authentication Manager-naplók Microsoft Sentinelbe való beolvasásához. Az alábbi utasításokat követve továbbíthatja a riasztásokat a Kezelőből egy syslog-kiszolgálóra.

Feljegyzés

Az adatösszekötő funkciója egy Kusto-függvényalapú elemzőre támaszkodik, amely a művelet szerves részét képezi. Ez az elemző a megoldástelepítés részeként van üzembe helyezve.

Frissítse az elemzőt, és adja meg az elemző első sorában a naplókat továbbító forrásgépek állomásnevét.

A Log Analytics függvénykódjának eléréséhez keresse meg a Log Analytics/Microsoft Sentinel-naplók szakaszt, válassza a Functions lehetőséget, és keresse meg az RSASecurIDAMEvent aliast. Másik lehetőségként közvetlenül is betöltheti a függvénykódot. A frissítés a telepítés után körülbelül 15 percet vehet igénybe.

Ez az adatösszekötő az RSA SecurID Authentication Manager 8.4-es és 8.5-ös verziójával lett kifejlesztve

Sophos XG Firewall

Kövesse az alábbi utasításokat a syslog-stream engedélyezéséhez. Használja a Linux-eszköz IP-címét vagy gazdagépnevét a Cél IP-címként telepített Linux-ügynökkel .

Feljegyzés

Az adatösszekötő funkciója egy Kusto-függvényalapú elemzőre támaszkodik, amely a művelet szerves részét képezi. Ez az elemző a megoldástelepítés részeként van üzembe helyezve.

Frissítse az elemzőt, és adja meg az elemző első sorában a naplókat továbbító forrásgépek állomásnevét. A Log Analytics függvénykódjának eléréséhez lépjen a Log Analytics/Microsoft Sentinel-naplók szakaszra, válassza a Functions lehetőséget, és keresse meg a SophosXGFirewall aliast. Másik lehetőségként töltse be közvetlenül a függvénykódot. A frissítés a telepítés után körülbelül 15 percet vehet igénybe.

Symantec Endpoint Protection

Az alábbi utasításokat követve konfigurálhatja a Symantec Endpoint Protectiont a syslog továbbításához. Használja a Linux-eszköz IP-címét vagy gazdagépnevét a Cél IP-címként telepített Linux-ügynökkel .

Feljegyzés

Az adatösszekötő funkciója egy Kusto-függvényalapú elemzőre támaszkodik, amely a művelet szerves részét képezi. Ez az elemző a megoldástelepítés részeként van üzembe helyezve.

Frissítse az elemzőt, és adja meg az elemző első sorában a naplókat továbbító forrásgépek állomásnevét. A Log Analytics függvénykódjának eléréséhez keresse meg a Log Analytics/Microsoft Sentinel-naplók szakaszt, válassza a Functions lehetőséget, és keresse meg a SymantecEndpointProtection aliast. Másik lehetőségként közvetlenül is betöltheti a függvénykódot. A frissítés a telepítés után körülbelül 15 percet vehet igénybe.

Symantec ProxySG

  1. Jelentkezzen be a Kék kabát felügyeleti konzolra.

  2. Válassza ki a konfigurációs>hozzáférés naplózási>formátumát.

  3. Válassza az Új lehetőséget.

  4. Adjon meg egy egyedi nevet a Név formázása mezőben.

  5. Válassza az Egyéni formázási sztring választógombot, és illessze be a következő sztringet a mezőbe.

    1 $(date) $(time) $(time-taken) $(c-ip) $(cs-userdn) $(cs-auth-groups) $(x-exception-id) $(sc-filter-result) $(cs-categories) $(quot)$(cs(Referer))$(quot) $(sc-status) $(s-action) $(cs-method) $(quot)$(rs(Content-Type))$(quot) $(cs-uri-scheme) $(cs-host) $(cs-uri-port) $(cs-uri-path) $(cs-uri-query) $(cs-uri-extension) $(quot)$(cs(User-Agent))$(quot) $(s-ip) $(sr-bytes) $(rs-bytes) $(x-virus-id) $(x-bluecoat-application-name) $(x-bluecoat-application-operation) $(cs-uri-port) $(x-cs-client-ip-country) $(cs-threat-risk)

  6. Kattintson az OK gombra.

  7. Válassza az Alkalmazn lehetőséget.

  8. Kövesse az alábbi utasításokat az Access-naplók syslog-streamelésének engedélyezéséhez. A Linux-eszköz IP-címének vagy gazdagépnevének használata a Linux-ügynökkel a Cél IP-címként telepítve

Feljegyzés

Az adatösszekötő funkciója egy Kusto-függvényalapú elemzőre támaszkodik, amely a művelet szerves részét képezi. Ez az elemző a megoldástelepítés részeként van üzembe helyezve.

Frissítse az elemzőt, és adja meg az elemző első sorában a naplókat továbbító forrásgépek állomásnevét.

A Log Analytics függvénykódjának eléréséhez lépjen a Log Analytics/Microsoft Sentinel-naplók szakaszra, válassza a Functions lehetőséget, és keresse meg a SymantecProxySG aliast. Másik lehetőségként töltse be közvetlenül a függvénykódot. A frissítés a telepítés után körülbelül 15 percet vehet igénybe.

Symantec VIP

Kövesse ezeket az utasításokat a Symantec VIP Enterprise Gateway konfigurálásához a syslog továbbításához. Használja a Linux-eszköz IP-címét vagy gazdagépnevét a Cél IP-címként telepített Linux-ügynökkel .

Feljegyzés

Az adatösszekötő funkciója egy Kusto-függvényalapú elemzőre támaszkodik, amely a művelet szerves részét képezi. Ez az elemző a megoldástelepítés részeként van üzembe helyezve.

Frissítse az elemzőt, és adja meg az elemző első sorában a naplókat továbbító forrásgépek állomásnevét.

A Log Analytics függvénykódjának eléréséhez keresse meg a Log Analytics/Microsoft Sentinel-naplók szakaszt, válassza a Functions lehetőséget, és keresse meg a SymantecVIP aliast. Másik lehetőségként töltse be közvetlenül a függvénykódot. A frissítés a telepítés után körülbelül 15 percet vehet igénybe.

VMware ESXi

  1. Kövesse az alábbi utasításokat a VMware ESXi konfigurálásához a syslog továbbításához:

  2. Használja a Linux-eszköz IP-címét vagy gazdagépnevét a Cél IP-címként telepített Linux-ügynökkel .

Feljegyzés

Az adatösszekötő funkciója egy Kusto-függvényalapú elemzőre támaszkodik, amely a művelet szerves részét képezi. Ez az elemző a megoldástelepítés részeként van üzembe helyezve.

Frissítse az elemzőt, és adja meg az elemző első sorában a naplókat továbbító forrásgépek állomásnevét.

A Log Analytics függvénykódjának eléréséhez keresse meg a Log Analytics/Microsoft Sentinel-naplók szakaszt, válassza a Functions lehetőséget, és keresse meg a VMwareESXi aliast. Másik lehetőségként töltse be közvetlenül a függvénykódot. A frissítés a telepítés után körülbelül 15 percet vehet igénybe.

WatchGuard Firebox

Kövesse az alábbi utasításokat a WatchGuard Firebox naplóadatainak syslogon keresztüli küldéséhez.

Kapcsolódó tartalom