Connettore Zscaler Private Access per Microsoft Sentinel

  • Articolo

Il connettore dati Zscaler Private Access (ZPA) offre la possibilità di inserire gli eventi di Zscaler Private Access in Microsoft Sentinel. Per altre informazioni, vedere la documentazione sull'accesso privato di Zscaler.

Si tratta di contenuto generato automaticamente. Per le modifiche, contattare il provider di soluzioni.

attributi Connessione or

Attributo Connessione or Descrizione
Alias della funzione Kusto ZPAEvent
URL della funzione Kusto https://aka.ms/sentinel-ZscalerPrivateAccess-parser
Tabelle di Log Analytics ZPA_CL
Supporto delle regole di raccolta dati Non è al momento supportato
Supportata da: Microsoft Corporation

Esempi di query

Tutti i log


ZPAEvent

| sort by TimeGenerated

Istruzioni di installazione fornitore

Nota

Questo connettore dati dipende da un parser basato su una funzione Kusto per funzionare come previsto. Seguire questa procedura per creare l'alias delle funzioni Kusto, ZPAEvent

Nota

Questo connettore dati è stato sviluppato con Zscaler Private Access versione: 21.67.1

  1. Installare ed eseguire l'onboarding dell'agente per Linux o Windows

Installare l'agente nel server in cui vengono inoltrati i log di accesso privato di Zscaler.

I log dal server di accesso privato Zscaler distribuito in server Linux o Windows vengono raccolti dagli agenti Linux o Windows .

  1. Configurare i log da raccogliere

Seguire la procedura di configurazione seguente per ottenere i log di Accesso privato di Zscaler in Microsoft Sentinel. Per altri dettagli su questi passaggi, vedere la documentazione di Monitoraggio di Azure. I log di accesso privato di Zscaler vengono recapitati tramite il servizio LSS (Log Streaming Service). Per informazioni dettagliate, vedere la documentazione di LSS

  1. Configurare i ricevitori di log. Durante la configurazione di un ricevitore di log, scegliere JSON come modello di log.

  2. Scaricare il file di configurazione zpa.conf wget -v https://aka.ms/sentinel-zscalerprivateaccess-conf -O zpa.conf

  3. Accedere al server in cui è stato installato l'agente di Azure Log Analytics.

  4. Copiare zpa.conf nella cartella /etc/opt/microsoft/omsagent/workspace_id/conf/omsagent.d/ .

  5. Modificare zpa.conf come indicato di seguito:

    a. specificare la porta su cui sono stati impostati i ricevitori di log di Zscaler per inoltrare i log (riga 4)

    b. zpa.conf usa la porta 22033 per impostazione predefinita. Verificare che questa porta non venga usata da nessun'altra origine nel server

    c. Se si vuole modificare la porta predefinita per zpa.conf , assicurarsi che non si verifichi un conflitto con le porte dell'agente AMA predefinite, ad esempio CEF usa la porta TCP 25226 o 25224.

    d. sostituire workspace_id con il valore reale dell'ID area di lavoro (righe 14.15.16.19)

  6. Salvare le modifiche e riavviare l'agente di Azure Log Analytics per il servizio Linux con il comando seguente: sudo /opt/microsoft/omsagent/bin/service_control restart

Passaggi successivi

Per altre informazioni, vedere la soluzione correlata in Azure Marketplace.