Microsoft Sentinel 用 Zscaler Private Access コネクタ
Zscaler Private Access (ZPA) データ コネクタは、Zscaler Private Access イベントを Microsoft Sentinel に取り込む機能を提供します。 詳細については、Zscaler Private Access のドキュメントを参照してください。
コネクタの属性
| コネクタ属性 | 説明 |
|---|---|
| Kusto 関数エイリアス | ZPAEvent |
| Kusto 関数 URL | https://aka.ms/sentinel-ZscalerPrivateAccess-parser |
| Log Analytics テーブル | ZPA_CL |
| データ収集ルールのサポート | 現在、サポートされていません |
| サポートしているもの | Microsoft Corporation |
クエリのサンプル
すべてのログ
ZPAEvent
| sort by TimeGenerated
ベンダーのインストール手順
注意
このデータ コネクタは、Kusto 関数に基づくパーサーに依存して正常に動作します。 Kusto 関数のエイリアス ZPAEvent を作成するには、こちらの手順に従ってください
注意
このデータ コネクタは、Zscaler Private Access バージョン: 21.67.1 を使用して開発されました
- Linux または Windows 用エージェントをインストールおよびオンボードする
Zscaler Private Access ログが転送されるサーバーにエージェントをインストールします。
Linux または Windows サーバー上にデプロイされた Zscaler Private Access Server からのログは、Linux または Windows エージェントによって収集されます。
- 収集するログを構成する
次の構成手順に従って、Zscaler Private Access のログを Microsoft Sentinel に取り込みます。 以下に示す手順の詳細については、Azure Monitor のドキュメントをご覧ください。 Zscaler Private Access のログは、ログ ストリーミング サービス (LSS) を介して配信されます。 詳細については、LSS のドキュメントをご覧ください
ログ レシーバーを構成します。 ログ レシーバーの構成中に、 [ログ テンプレート] として [JSON] を選択します。
構成ファイル zpa.conf をダウンロードします。wget -v https://aka.ms/sentinel-zscalerprivateaccess-conf -O zpa.conf
Azure Log Analytics エージェントをインストールしたサーバーにログインします。
zpa.conf を /etc/opt/microsoft/omsagent/workspace_id/conf/omsagent.d/ フォルダーにコピーします。
次のように zpa.conf を編集します。
a. ログを転送するように Zscaler Log Receivers を設定したポートを指定します (4 行目)
b. zpa.conf では、既定でポート 22033 が使用されます。 このポートがサーバー上の他のソースで使用されていないことを確認します
c. zpa.conf の既定のポートを変更する場合は、既定の AMA エージェント ポートと競合しないようにしてください (たとえば、CEF は TCP ポート 25226 または 25224 を使用します)。
d. workspace_id を実際のワークスペース ID の値に置き換えます (14、15、16、19 行目)
変更を保存し、次のコマンドを使用して Linux サービス用 Azure Log Analytics エージェントを再起動します: sudo /opt/microsoft/omsagent/bin/service_control restart
次の手順
詳細については、Azure Marketplace の関連ソリューションに関するページを参照してください。