Connettore Zscaler Private Access per Microsoft Sentinel
Il connettore dati Zscaler Private Access (ZPA) offre la possibilità di inserire gli eventi di Zscaler Private Access in Microsoft Sentinel. Per altre informazioni, vedere la documentazione sull'accesso privato di Zscaler.
Si tratta di contenuto generato automaticamente. Per le modifiche, contattare il provider di soluzioni.
attributi Connessione or
Attributo Connessione or | Descrizione |
---|---|
Alias della funzione Kusto | ZPAEvent |
URL della funzione Kusto | https://aka.ms/sentinel-ZscalerPrivateAccess-parser |
Tabelle di Log Analytics | ZPA_CL |
Supporto delle regole di raccolta dati | Non è al momento supportato |
Supportata da: | Microsoft Corporation |
Esempi di query
Tutti i log
ZPAEvent
| sort by TimeGenerated
Istruzioni di installazione fornitore
Nota
Questo connettore dati dipende da un parser basato su una funzione Kusto per funzionare come previsto. Seguire questa procedura per creare l'alias delle funzioni Kusto, ZPAEvent
Nota
Questo connettore dati è stato sviluppato con Zscaler Private Access versione: 21.67.1
- Installare ed eseguire l'onboarding dell'agente per Linux o Windows
Installare l'agente nel server in cui vengono inoltrati i log di accesso privato di Zscaler.
I log dal server di accesso privato Zscaler distribuito in server Linux o Windows vengono raccolti dagli agenti Linux o Windows .
- Configurare i log da raccogliere
Seguire la procedura di configurazione seguente per ottenere i log di Accesso privato di Zscaler in Microsoft Sentinel. Per altri dettagli su questi passaggi, vedere la documentazione di Monitoraggio di Azure. I log di accesso privato di Zscaler vengono recapitati tramite il servizio LSS (Log Streaming Service). Per informazioni dettagliate, vedere la documentazione di LSS
Configurare i ricevitori di log. Durante la configurazione di un ricevitore di log, scegliere JSON come modello di log.
Scaricare il file di configurazione zpa.conf wget -v https://aka.ms/sentinel-zscalerprivateaccess-conf -O zpa.conf
Accedere al server in cui è stato installato l'agente di Azure Log Analytics.
Copiare zpa.conf nella cartella /etc/opt/microsoft/omsagent/workspace_id/conf/omsagent.d/ .
Modificare zpa.conf come indicato di seguito:
a. specificare la porta su cui sono stati impostati i ricevitori di log di Zscaler per inoltrare i log (riga 4)
b. zpa.conf usa la porta 22033 per impostazione predefinita. Verificare che questa porta non venga usata da nessun'altra origine nel server
c. Se si vuole modificare la porta predefinita per zpa.conf , assicurarsi che non si verifichi un conflitto con le porte dell'agente AMA predefinite, ad esempio CEF usa la porta TCP 25226 o 25224.
d. sostituire workspace_id con il valore reale dell'ID area di lavoro (righe 14.15.16.19)
Salvare le modifiche e riavviare l'agente di Azure Log Analytics per il servizio Linux con il comando seguente: sudo /opt/microsoft/omsagent/bin/service_control restart
Passaggi successivi
Per altre informazioni, vedere la soluzione correlata in Azure Marketplace.