Microsoft Sentinel 用 Elastic Agent (スタンドアロン) コネクタ
Elastic Agent データ コネクタは、Elastic Agent のログ、メトリック、およびセキュリティ データを Microsoft Sentinel に取り込む機能を提供します。
コネクタの属性
| コネクタ属性 | 説明 |
|---|---|
| Log Analytics テーブル | ElasticAgentLogs_CL |
| データ収集ルールのサポート | 現在、サポートされていません |
| サポートしているもの | Microsoft Corporation |
クエリのサンプル
上位 10 デバイス
ElasticAgentEvent
| summarize count() by DvcIpAddr
| top 10 by count_
前提条件
Elastic Agent (スタンドアロン) と統合するには、次があることを確認します。
- 接続にカスタム前提条件が必要な場合に含める - それ以外の場合はカスタムを削除する: カスタム前提条件がある場合の説明
ベンダーのインストール手順
注意
このデータ コネクタの期待どおりの動作は、Kusto 関数に基づくパーサー (Microsoft Sentinel ソリューションと共にデプロイされている ElasticAgentEvent) に依存しています。
注意
このデータ コネクタは、Elastic Agent 7.14 を使用して開発されています。
- Linux または Windows 用エージェントをインストールおよびオンボードする
エージェントを、Elastic Agent のログが転送されるサーバーにインストールします。
Linux または Windows サーバーにデプロイされた Elastic Agent からのログは、Linux または Windows エージェントによって収集されます。
- Elastic Agent の構成 (スタンドアロン)
手順に従い、Elastic Agent を Logstash に出力するよう構成します
- Logstash を Microsoft Logstash 出力プラグインを使用するように構成する
Logstash を、microsoft-logstash-output-azure-loganalytics プラグインを使用するように構成する手順に従います。
3.1) プラグインが既にインストール済みかどうかを確認します
./logstash-plugin list | grep 'azure-loganalytics' (プラグインがインストール済みの場合は手順 3.3 に進みます)
3.2) プラグインをインストールします。
./logstash-plugin install microsoft-logstash-output-azure-loganalytics
3.3) プラグインを使用するように Logstash を構成します
- ログの取り込みを検証します
手順に従って接続を検証します。
Log Analytics を開き、手順 3.3 で指定したカスタム テーブル (例: ElasticAgentLogs_CL) を使用してログが受信されているかどうかを確認します。
接続がデータをワークスペースにストリーミングするまで約 30 分かかる場合があります。
次の手順
詳細については、Azure Marketplace の関連ソリューションに関するページを参照してください。