Connettore Elastic Agent (Standalone) per Microsoft Sentinel

  • Articolo

Il connettore dati di Elastic Agent offre la possibilità di inserire log, metriche e dati di sicurezza di Elastic Agent in Microsoft Sentinel.

Si tratta di contenuto generato automaticamente. Per le modifiche, contattare il provider di soluzioni.

attributi Connessione or

Attributo Connessione or Descrizione
Tabelle di Log Analytics ElasticAgentLogs_CL
Supporto delle regole di raccolta dati Non è al momento supportato
Supportata da: Microsoft Corporation

Esempi di query

Primi 10 dispositivi

ElasticAgentEvent

| summarize count() by DvcIpAddr

| top 10 by count_

Prerequisiti

Per l'integrazione con Elastic Agent (Standalone) assicurarsi di avere:

  • Includere prerequisiti personalizzati se la connettività richiede : altrimenti eliminare le dogane: Descrizione per qualsiasi prerequisito personalizzato

Istruzioni di installazione fornitore

Nota

Questo connettore dati dipende da un parser basato su una funzione Kusto per funzionare come previsto elasticAgentEvent distribuito con la soluzione Microsoft Sentinel.

Nota

Questo connettore dati è stato sviluppato usando Elastic Agent 7.14.

  1. Installare ed eseguire l'onboarding dell'agente per Linux o Windows

Installare l'agente nel server in cui vengono inoltrati i log dell'agente elastico.

I log degli agenti elastici distribuiti in server Linux o Windows vengono raccolti dagli agenti Linux o Windows .

  1. Configurare l'agente elastico (autonomo)

Seguire le istruzioni per configurare Elastic Agent per l'output in Logstash

  1. Configurare Logstash per l'uso del plug-in di output Microsoft Logstash

Seguire la procedura per configurare Logstash per l'uso del plug-in microsoft-logstash-output-azure-loganalytics:

3.1) Controllare se il plug-in è già installato:

Elenco di plug-in ./logstash-plugin | grep 'azure-loganalytics' (se il plug-in è installato andare al passaggio 3.3)

3.2) Installare il plug-in:

./logstash-plugin install microsoft-logstash-output-azure-loganalytics

3.3) Configurare Logstash per l'uso del plug-in

  1. Convalidare l'inserimento dei log

Seguire le istruzioni per convalidare la connettività:

Aprire Log Analytics per verificare se i log vengono ricevuti usando la tabella personalizzata specificata nel passaggio 3.3 (ad esempio, ElasticAgentLogs_CL).

Potrebbero essere necessari circa 30 minuti fino a quando i dati della connessione non passano all'area di lavoro.

Passaggi successivi

Per altre informazioni, vedere la soluzione correlata in Azure Marketplace.