[Deprecato] Connettore Zscaler Private Access per Microsoft Sentinel
Importante
La raccolta di log da molti dispositivi e appliance è ora supportata da Common Event Format (CEF) tramite AMA, syslog tramite AMA o log personalizzati tramite il connettore dati AMA in Microsoft Sentinel. Per altre informazioni, vedere Trovare il connettore dati di Microsoft Sentinel.
Il connettore dati Zscaler Private Access (ZPA) offre la possibilità di inserire gli eventi di Zscaler Private Access in Microsoft Sentinel. Per altre informazioni, vedere la documentazione di Zscaler Private Access.
Questo contenuto è generato automaticamente. Per modifiche, contattare il provider di soluzioni.
Attributi connettore
| Attributo connettore | Descrizione |
|---|---|
| Alias della funzione Kusto | ZPAEvent |
| URL della funzione Kusto | https://aka.ms/sentinel-ZscalerPrivateAccess-parser |
| Tabelle Log Analytics | ZPA_CL |
| Supporto regole di raccolta dati | Non è al momento supportato |
| Supportata da: | Microsoft Corporation |
Esempi di query
Tutti i log
ZPAEvent
| sort by TimeGenerated
Istruzioni per l’installazione di Vendor
Nota
Per funzionare come previsto questo connettore dati dipende da un parser basato su una funzione Kusto. Eseguire questi passaggi per creare l'alias delle funzioni Kusto, ZPAEvent
Nota
Questo connettore dati è stato sviluppato con Zscaler Private Access versione 21.67.1
- Installare ed eseguire l'onboarding dell'agente per Linux o Windows
Installare l'agente nel server a cui vengono inoltrati i log di Zscaler Private Access.
I log del server Zscaler Private Access distribuito in server Linux o Windows vengono raccolti dagli agenti Linux o Windows.
- Configurare i log da raccogliere
Eseguire i passaggi di configurazione seguenti per fare in modo che i log di Zscaler Private Access vengano inseriti in Microsoft Sentinel. Per informazioni più dettagliate su questi attributi, consultare la documentazione relativa a Monitoraggio di Azure. I log di Zscaler Private Access vengono recapitati tramite LSS (Log Streaming Service). Per informazioni dettagliate, vedere la documentazione di LSS
Configurare i ricevitori di log. Durante la configurazione di un ricevitore di log, scegliere JSON come modello di log.
Scaricare il file di configurazione zpa.conf wget -v https://aka.ms/sentinel-zscalerprivateaccess-conf -O zpa.conf
Accedere al server in cui è stato installato l'agente di Azure Log Analytics.
Copiare zpa.conf nella cartella /etc/opt/microsoft/omsagent/workspace_id/conf/omsagent.d/.
Modificare zpa.conf come indicato di seguito:
a. specificare la porta che è stata impostata per ricevere i log inoltrati dai ricevitori di log di Zscaler (riga 4)
b. zpa.conf usa la porta 22033 per impostazione predefinita. Verificare che questa porta non venga usata da nessun'altra origine nel server
c. Se si desidera modificare la porta predefinita per zpa.conf, assicurarsi che non sia in conflitto con le porte predefinite dell'agente AMA (ad esempio CEF usa la porta TCP 25226 o 25224)
d. sostituire workspace_id con il valore reale dell'ID area di lavoro (righe 14,15,16,19)
Salvare le modifiche e riavviare l'agente di Azure Log Analytics per il servizio Linux con il comando seguente: sudo /opt/microsoft/omsagent/bin/service_control restart
Passaggi successivi
Per altre informazioni, visitare la soluzione correlata in Azure Marketplace.