다음을 통해 공유

AMA 데이터 커넥터를 통한 Syslog - Microsoft Sentinel 데이터 수집을 위한 특정 어플라이언스 또는 디바이스 구성

  • 아티클

많은 보안 어플라이언스 및 디바이스의 로그 수집은 Microsoft Sentinel의 AMA 데이터 커넥터를 통해 Syslog에서 지원됩니다. 이 문서에서는 이 데이터 커넥터를 사용하는 특정 보안 어플라이언스 및 디바이스에 대한 공급자 제공 설치 지침을 나열합니다. 업데이트, 자세한 정보 또는 보안 어플라이언스 또는 디바이스에 대한 정보를 사용할 수 없는 경우 공급자에게 문의하세요.

Microsoft Sentinel용 Log Analytics 작업 영역으로 데이터를 전달하려면 Azure Monitor 에이전트를 사용하여 Ingest syslog 및 CEF 메시지의 단계를 Microsoft Sentinel에 완료합니다. 이러한 단계를 완료하면 Microsoft Sentinel에서 AMA 데이터 커넥터를 통해 Syslog를 설치합니다. 그런 다음 이 문서의 적절한 공급자 지침을 사용하여 설정을 완료합니다.

이러한 각 어플라이언스 또는 디바이스에 대한 관련 Microsoft Sentinel 솔루션에 대한 자세한 내용은 Azure Marketplace에서 제품 유형>솔루션 템플릿검색하거나 Microsoft Sentinel의 콘텐츠 허브에서 솔루션을 검토하세요.

Barracuda CloudGen Firewall

syslog 스트리밍을 구성하려면 지침을 따릅니다. 대상 IP 주소에 대해 설치된 Microsoft Sentinel 에이전트를 사용하여 Linux 컴퓨터의 IP 주소 또는 호스트 이름을 사용합니다.

Blackberry CylancePROTECT

syslog를 전달하도록 CylancePROTECT를 구성하려면 이 지침을 따릅니다. Linux 에이전트가 대상 IP 주소로 설치된 Linux 디바이스의 IP 주소 또는 호스트 이름을 사용합니다.

Cisco ACI(애플리케이션 중심 인프라)

에이전트를 설치하는 원격 서버에 syslog를 통해 로그를 보내도록 Cisco ACI 시스템을 구성합니다. 다음 단계에 따라 Syslog 대상, 대상 그룹Syslog 원본을 구성합니다.

이 데이터 커넥터는 Cisco ACI 릴리스 1.x를 사용하여 개발되었습니다.

Cisco IDENTITY Services 엔진(ISE)

지침에 따라 Cisco ISE 배포에서 원격 syslog 수집 위치를 구성합니다.

Cisco Stealthwatch

다음 구성 단계를 완료하여 Microsoft Sentinel에 Cisco Stealthwatch 로그를 가져옵니다.

  1. SMC(스텔스워치 관리 콘솔)에 관리자 권한으로 로그인합니다.

  2. 메뉴 모음에서 구성>응답 관리를 선택합니다.

  3. 응답 관리 메뉴의 작업 섹션에서 Syslog 메시지 추가 > 를 선택합니다.

  4. Syslog 메시지 추가 작업 창에서 매개 변수를 구성합니다.

  5. 다음 사용자 지정 형식을 입력합니다.

    |Lancope|Stealthwatch|7.3|{alarm_type_id}|0x7C|src={source_ip}|dst={target_ip}|dstPort={port}|proto={protocol}|msg={alarm_type_description}|fullmessage={details}|start={start_active_time}|end={end_active_time}|cat={alarm_category_name}|alarmID={alarm_id}|sourceHG={source_host_group_names}|targetHG={target_host_group_names}|sourceHostSnapshot={source_url}|targetHostSnapshot={target_url}|flowCollectorName={device_name}|flowCollectorIP={device_ip}|domain={domain_name}|exporterName={exporter_hostname}|exporterIPAddress={exporter_ip}|exporterInfo={exporter_label}|targetUser={target_username}|targetHostname={target_hostname}|sourceUser={source_username}|alarmStatus={alarm_status}|alarmSev={alarm_severity_name}

  6. 목록에서 사용자 지정 형식을 선택하고 확인합니다.

  7. 응답 관리 > 규칙을 선택합니다.

  8. 알람 추가호스트를 선택합니다.

  9. 이름 필드에 규칙 이름을 입력합니다.

  10. 형식옵션 메뉴에서 값을 선택하여 규칙을 만듭니다. 규칙을 더 추가하려면 줄임표 아이콘을 선택합니다. 호스트 알람경우 문에 가능한 한 많은 형식을 결합합니다.

이 데이터 커넥터는 Cisco Stealthwatch 버전 7.3.2를 사용하여 개발되었습니다.

Cisco UCS(통합 컴퓨팅 시스템)

다음 지침에 따라 Syslog를 전달하도록 Cisco UCS를 구성합니다. Linux 에이전트가 대상 IP 주소로 설치된 Linux 디바이스의 IP 주소 또는 호스트 이름을 사용합니다.

참고 항목

이 데이터 커넥터의 기능은 작업에 필수적인 Kusto 함수 기반 파서에 의존합니다. 이 파서는 솔루션 설치의 일부로 배포됩니다.

파서 업데이트 및 파서의 첫 번째 줄에서 로그를 전송하는 원본 컴퓨터의 호스트 이름을 지정합니다.

Log Analytics 내의 함수 코드에 액세스하려면 Log Analytics/Microsoft Sentinel 로그 섹션으로 이동하여 함수를 선택하고 CiscoUCS 별칭 을 검색합니다. 또는 함수 코드를 직접 로드합니다. 설치 후 업데이트하는 데 약 15분 정도 걸릴 수 있습니다.

Cisco Web Security Appliance (WSA)

에이전트를 설치하는 원격 서버에 syslog를 통해 로그를 전달하도록 Cisco를 구성합니다. 다음 단계에 따라 Syslog를 통해 로그를 전달하도록 Cisco WSA를 구성합니다.

검색 방법으로 Syslog 푸시를 선택합니다.

이 데이터 커넥터는 Cisco Web Security Appliance용 AsyncOS 14.0을 사용하여 개발되었습니다.

Citrix ADC(애플리케이션 배달 컨트롤러)

Syslog를 통해 로그를 전달하도록 Citrix ADC(이전 NetScaler)를 구성합니다.

  1. 구성 탭 > 시스템 > 감사 > Syslog 서버 탭으로 > 이동합니다.
  2. Syslog 작업 이름을 지정합니다.
  3. 원격 Syslog 서버 및 포트의 IP 주소를 설정합니다.
  4. 원격 syslog 서버 구성에 따라 전송 유형을 TCP 또는 UDP설정합니다.
  5. 자세한 내용은 Citrix ADC(이전 NetScaler) 설명서를 참조 하세요.

참고 항목

이 데이터 커넥터의 기능은 작업에 필수적인 Kusto 함수 기반 파서에 의존합니다. 이 파서는 솔루션 설치의 일부로 배포됩니다. Log Analytics 내의 함수 코드에 액세스하려면 Log Analytics/Microsoft Sentinel 로그 섹션으로 이동하여 함수를 선택하고 CitrixADCEvent 별칭을 검색합니다. 또는 함수 코드를 직접 로드할 수 있습니다. 설치 후 업데이트하는 데 약 15분 정도 걸릴 수 있습니다.

이 파서에는 라는 Sources_by_SourceType관심 목록이 필요합니다.

i. 관심 목록을 아직 만들지 않은 경우 Azure Portal에서 Microsoft Sentinel에서 관심 목록을 만듭니다.

ii. 관심 목록 Sources_by_SourceType을 열고 이 데이터 원본에 대한 항목을 추가합니다.

ii. CitrixADC의 SourceType 값은 CitrixADC입니다. 자세한 내용은 ASIM(고급 보안 정보 모델) 파서 관리를 참조 하세요.

Digital Guardian Data Loss Prevention

Syslog를 통해 로그를 전달하도록 Digital Guardian를 구성하려면 다음 단계를 완료합니다.

  1. 디지털 보호자 관리 콘솔에 로그인합니다.
  2. 작업 영역>데이터 내보내기>내보내기 만들기를 선택합니다.
  3. 데이터 원본 목록에서 데이터 원본으로 경고 또는 이벤트를 선택합니다.
  4. 내보내기 형식 목록에서 Syslog를 선택합니다.
  5. 형식 목록에서 UDP 또는 TCP를 전송 프로토콜로 선택합니다.
  6. 서버 필드에 원격 syslog 서버의 IP 주소를 입력합니다.
  7. 포트 필드에 514(또는 syslog 서버가 기본이 아닌 포트를 사용하도록 구성된 경우 다른 포트)를 입력합니다.
  8. 심각도 수준 목록에서 심각도 수준을 선택합니다.
  9. 활성 상태 확인란을 선택합니다.
  10. 다음을 선택합니다.
  11. 사용 가능한 필드 목록에서 데이터 내보내기를 위한 경고 또는 이벤트 필드를 추가합니다.
  12. 데이터 내보내기 및 다음 필드에 대한 조건을 선택합니다.
  13. 조건에 대한 그룹을 선택하고 다음을 선택합니다.
  14. 테스트 쿼리를 선택합니다.
  15. 다음을 선택합니다.
  16. 데이터 내보내기를 저장합니다.

ESET 통합 보호

Syslog를 통해 모든 이벤트를 보내도록 ESET PROTECT를 구성합니다.

  1. 다음 지침에 따라 syslog 출력을 구성합니다. 형식은 BSD를 선택하고, 전송은 TCP를 선택해야 합니다.
  2. 다음 지침에 따라 모든 로그를 syslog로 내보냅니다. 출력 형식으로 JSON을 선택합니다.

Exabeam 고급 분석

syslog를 통해 Exabeam Advanced Analytics 활동 로그 데이터를 보내려면 이 지침을 따릅니다.

이 데이터 커넥터는 Exabeam Advanced Analytics i54(Syslog)를 사용하여 개발되었습니다.

Forescout

다음 단계를 완료하여 Forescout 로그를 Microsoft Sentinel로 가져옵니다.

  1. 구성할 어플라이언스를 선택합니다.
  2. Forescout 플랫폼에서 syslog 서버로 경고를 전달하려면 다음 지침을 따릅니다.
  3. Syslog 트리거 탭에서 설정을 구성합니다.

이 데이터 커넥터는 Forescout Syslog 플러그 인 버전 v3.6을 사용하여 개발되었습니다.

Gitlab

다음 지침에 따라 syslog를 통해 Gitlab 감사 로그 데이터를 보냅니다.

ISC Bind

  1. 다음 지침에 따라 Syslog: DNS 로그를 전달하도록 ISC 바인딩을 구성합니다.
  2. syslog 트래픽을 에이전트로 보내도록 syslog를 구성합니다. Linux 에이전트가 대상 IP 주소로 설치된 Linux 디바이스의 IP 주소 또는 호스트 이름을 사용합니다.

Infoblox NIOS(네트워크 ID 운영 체제)

다음 지침에 따라 Infoblox NIOS 로그의 syslog 전달을 사용하도록 설정합니다. Linux 에이전트가 대상 IP 주소로 설치된 Linux 디바이스의 IP 주소 또는 호스트 이름을 사용합니다.

참고 항목

이 데이터 커넥터의 기능은 작업에 필수적인 Kusto 함수 기반 파서에 의존합니다. 이 파서는 솔루션 설치의 일부로 배포됩니다.

Log Analytics 내의 함수 코드에 액세스하려면 Log Analytics/Microsoft Sentinel 로그 섹션으로 이동하여 함수를 선택하고 Infoblox 별칭을 검색합니다. 또는 함수 코드를 직접 로드할 수 있습니다. 설치 후 업데이트하는 데 약 15분 정도 걸릴 수 있습니다.

이 파서에는 라는 Sources_by_SourceType관심 목록이 필요합니다.

i. 관심 목록을 아직 만들지 않은 경우 Azure Portal에서 Microsoft Sentinel에서 관심 목록을 만듭니다.

ii. 관심 목록 Sources_by_SourceType을 열고 이 데이터 원본에 대한 항목을 추가합니다.

ii. InfobloxNIOS의 SourceType 값은 .입니다 InfobloxNIOS.

자세한 내용은 ASIM(고급 보안 정보 모델) 파서 관리를 참조 하세요.

Ivanti Unified Endpoint Management

syslog 서버에 로그를 보내도록 경고 작업을 설정하려면 지침을 따릅니다.

이 데이터 커넥터는 Ivanti Unified Endpoint Management 릴리스 2021.1 버전 11.0.3.374를 사용하여 개발되었습니다.

Juniper SRX

  1. 다음 지침을 완료하여 syslog를 전달하도록 Juniper SRX를 구성합니다.

  2. Linux 에이전트가 대상 IP 주소로 설치된 Linux 디바이스의 IP 주소 또는 호스트 이름을 사용합니다.

McAfee Network Security Platform

다음 구성 단계를 완료하여 McAfee® 네트워크 보안 플랫폼 로그를 Microsoft Sentinel에 가져옵니다.

  1. 관리자에서 syslog 서버로 경고를 전달합니다.

  2. syslog 알림 프로필을 추가해야 합니다. 프로필을 만드는 동안 이벤트의 형식이 올바르게 지정되었는지 확인하려면 메시지 텍스트 상자에 다음 텍스트를 입력합니다.

    <SyslogAlertForwarderNSP>:|SENSOR_ALERT_UUID|ALERT_TYPE|ATTACK_TIME|ATTACK_NAME|ATTACK_ID |ATTACK_SEVERITY|ATTACK_SIGNATURE|ATTACK_CONFIDENCE|ADMIN_DOMAIN|SENSOR_NAME|INTERFACE |SOURCE_IP|SOURCE_PORT|DESTINATION_IP|DESTINATION_PORT|CATEGORY|SUB_CATEGORY |DIRECTION|RESULT_STATUS|DETECTION_MECHANISM|APPLICATION_PROTOCOL|NETWORK_PROTOCOL|

이 데이터 커넥터는 McAfee® 네트워크 보안 플랫폼 버전 10.1.x를 사용하여 개발되었습니다.

McAfee ePolicy Orchestrator

syslog 서버를 등록하는 방법에 대한 지침은 공급자에게 문의하세요.

Microsoft Sysmon For Linux

이 데이터 커넥터는 정상적으로 작동하기 위해 Kusto Functions를 기준으로 하는 ASIM 파서를 사용합니다. 파서를 배포합니다.

다음 함수가 배포됩니다.

  • vimFileEventLinuxSysmonFileCreated, vimFileEventLinuxSysmonFileDeleted
  • vimProcessCreateLinuxSysmon, vimProcessTerminateLinuxSysmon
  • vimNetworkSessionLinuxSysmon

자세히 알아보기

Nasuni

syslog 이벤트를 전달하도록 Nasuni Edge Appliance를 구성하려면 Nasuni 관리 콘솔 가이드의 지침을 따릅니다. syslog 설정에 대한 서버 구성 필드에서 Azure Monitor 에이전트를 실행하는 Linux 디바이스의 IP 주소 또는 호스트 이름을 사용합니다.

OpenVPN

OpenVPN에 전달되는 서버에 에이전트를 설치합니다. OpenVPN 서버 로그는 일반적인 syslog 파일에 기록됩니다(사용된 Linux 배포에 따라 다름: /var/log/messages).

Oracle Database Audit

다음 단계를 완료합니다.

  1. Oracle 데이터베이스 만들기 다음 단계를 수행하세요.
  2. 만든 Oracle 데이터베이스에 로그인합니다. 다음 단계를 수행합니다.
  3. 시스템을 변경하여 통합 로깅을 사용하도록 설정하여 syslog를 통해 통합 로깅을 사용하도록 설정 다음 단계를 수행하세요.
  4. 통합 감사에 대해 감사 정책을 만들고 사용하도록 설정 다음 단계를 수행하세요.
  5. syslog와 이벤트 뷰어를 사용하도록 설정하여 통합 감사 내역 캡처 다음 지침을 수행하세요.

Pulse Connect Secure

지침에 따라 Pulse Connect Secure 로그의 syslog 스트리밍을 사용하도록 설정하세요. Linux 에이전트가 대상 IP 주소로 설치된 Linux 디바이스의 IP 주소 또는 호스트 이름을 사용합니다.

참고 항목

이 데이터 커넥터의 기능은 작업에 필수적인 Kusto 함수 기반 파서에 의존합니다. 이 파서는 솔루션 설치의 일부로 배포됩니다.

파서 업데이트 및 파서의 첫 번째 줄에서 로그를 전송하는 원본 컴퓨터의 호스트 이름을 지정합니다.

Log Analytics 내의 함수 코드에 액세스하려면 Log Analytics/Microsoft Sentinel 로그 섹션으로 이동하여 함수를 선택하고 PulseConnectSecure 별칭을 검색합니다. 또는 함수 코드를 직접 로드합니다. 설치 후 업데이트하는 데 약 15분 정도 걸릴 수 있습니다.

RSA SecurID

다음 단계를 완료하여 Microsoft Sentinel에 RSA® SecurID 인증 관리자 로그를 가져옵니다. 다음 지침에 따라 관리자에서 syslog 서버로 경고를 전달합니다.

참고 항목

이 데이터 커넥터의 기능은 작업에 필수적인 Kusto 함수 기반 파서에 의존합니다. 이 파서는 솔루션 설치의 일부로 배포됩니다.

파서 업데이트 및 파서의 첫 번째 줄에서 로그를 전송하는 원본 컴퓨터의 호스트 이름을 지정합니다.

Log Analytics 내의 함수 코드에 액세스하려면 Log Analytics/Microsoft Sentinel 로그 섹션으로 이동하여 함수를 선택하고 별칭 RSASecurIDAMEvent를 검색합니다. 또는 함수 코드를 직접 로드할 수 있습니다. 설치 후 업데이트하는 데 약 15분 정도 걸릴 수 있습니다.

이 데이터 커넥터는 RSA SecurID 인증 관리자 버전 8.4 및 8.5를 사용하여 개발되었습니다.

Sophos XG 방화벽

이러한 지침에 따라 syslog 스트리밍을 사용하도록 설정합니다. Linux 에이전트가 대상 IP 주소로 설치된 Linux 디바이스의 IP 주소 또는 호스트 이름을 사용합니다.

참고 항목

이 데이터 커넥터의 기능은 작업에 필수적인 Kusto 함수 기반 파서에 의존합니다. 이 파서는 솔루션 설치의 일부로 배포됩니다.

파서 업데이트 및 파서의 첫 번째 줄에서 로그를 전송하는 원본 컴퓨터의 호스트 이름을 지정합니다. Log Analytics 내의 함수 코드에 액세스하려면 Log Analytics/Microsoft Sentinel 로그 섹션으로 이동하여 함수를 선택하고 SophosXGFirewall 별칭을 검색합니다. 또는 함수 코드를 직접 로드합니다. 설치 후 업데이트하는 데 약 15분 정도 걸릴 수 있습니다.

Symantec Endpoint Protection

syslog를 전달하도록 Symantec Endpoint Protection을 구성하려면 다음 지침을 따릅니다. Linux 에이전트가 대상 IP 주소로 설치된 Linux 디바이스의 IP 주소 또는 호스트 이름을 사용합니다.

참고 항목

이 데이터 커넥터의 기능은 작업에 필수적인 Kusto 함수 기반 파서에 의존합니다. 이 파서는 솔루션 설치의 일부로 배포됩니다.

파서 업데이트 및 파서의 첫 번째 줄에서 로그를 전송하는 원본 컴퓨터의 호스트 이름을 지정합니다. Log Analytics 내의 함수 코드에 액세스하려면 Log Analytics/Microsoft Sentinel 로그 섹션으로 이동하여 함수를 선택하고 별칭 SymantecEndpointProtection을 검색합니다. 또는 함수 코드를 직접 로드할 수 있습니다. 설치 후 업데이트하는 데 약 15분 정도 걸릴 수 있습니다.

Symantec ProxySG

  1. Blue Coat 관리 콘솔에 로그인합니다.

  2. 구성>액세스 로깅>형식을 선택합니다.

  3. 새로 만들기를 선택합니다.

  4. 형식 이름 필드에 고유한 이름을 입력합니다.

  5. 사용자 지정 형식 문자열에 대한 라디오 단추를 선택하고 다음 문자열을 필드에 붙여넣습니다.

    1 $(date) $(time) $(time-taken) $(c-ip) $(cs-userdn) $(cs-auth-groups) $(x-exception-id) $(sc-filter-result) $(cs-categories) $(quot)$(cs(Referer))$(quot) $(sc-status) $(s-action) $(cs-method) $(quot)$(rs(Content-Type))$(quot) $(cs-uri-scheme) $(cs-host) $(cs-uri-port) $(cs-uri-path) $(cs-uri-query) $(cs-uri-extension) $(quot)$(cs(User-Agent))$(quot) $(s-ip) $(sr-bytes) $(rs-bytes) $(x-virus-id) $(x-bluecoat-application-name) $(x-bluecoat-application-operation) $(cs-uri-port) $(x-cs-client-ip-country) $(cs-threat-risk)

  6. 확인을 선택합니다.

  7. N 적용을 선택합니다.

  8. 다음 지침에 따라 Access 로그의 syslog 스트리밍을 사용하도록 설정합니다. Linux 에이전트가 대상 IP 주소로 설치된 Linux 디바이스의 IP 주소 또는 호스트 이름 사용

참고 항목

이 데이터 커넥터의 기능은 작업에 필수적인 Kusto 함수 기반 파서에 의존합니다. 이 파서는 솔루션 설치의 일부로 배포됩니다.

파서 업데이트 및 파서의 첫 번째 줄에서 로그를 전송하는 원본 컴퓨터의 호스트 이름을 지정합니다.

Log Analytics 내의 함수 코드에 액세스하려면 Log Analytics/Microsoft Sentinel 로그 섹션으로 이동하여 함수를 선택하고 별칭 SymantecProxySG를 검색합니다. 또는 함수 코드를 직접 로드합니다. 설치 후 업데이트하는 데 약 15분 정도 걸릴 수 있습니다.

Symantec VIP

syslog를 전달하도록 Symantec VIP Enterprise Gateway를 구성하려면 다음 지침을 따릅니다. Linux 에이전트가 대상 IP 주소로 설치된 Linux 디바이스의 IP 주소 또는 호스트 이름을 사용합니다.

참고 항목

이 데이터 커넥터의 기능은 작업에 필수적인 Kusto 함수 기반 파서에 의존합니다. 이 파서는 솔루션 설치의 일부로 배포됩니다.

파서 업데이트 및 파서의 첫 번째 줄에서 로그를 전송하는 원본 컴퓨터의 호스트 이름을 지정합니다.

Log Analytics 내의 함수 코드에 액세스하려면 Log Analytics/Microsoft Sentinel 로그 섹션으로 이동하여 함수를 선택하고 별칭 SymantecVIP를 검색합니다. 또는 함수 코드를 직접 로드합니다. 설치 후 업데이트하는 데 약 15분 정도 걸릴 수 있습니다.

VMware ESXi

  1. 다음 지침에 따라 Syslog를 전달하도록 VMware ESXi를 구성합니다.

  2. Linux 에이전트가 대상 IP 주소로 설치된 Linux 디바이스의 IP 주소 또는 호스트 이름을 사용합니다.

참고 항목

이 데이터 커넥터의 기능은 작업에 필수적인 Kusto 함수 기반 파서에 의존합니다. 이 파서는 솔루션 설치의 일부로 배포됩니다.

파서 업데이트 및 파서의 첫 번째 줄에서 로그를 전송하는 원본 컴퓨터의 호스트 이름을 지정합니다.

Log Analytics 내의 함수 코드에 액세스하려면 Log Analytics/Microsoft Sentinel 로그 섹션으로 이동하여 함수를 선택하고 별칭 VMwareESXi를 검색합니다. 또는 함수 코드를 직접 로드합니다. 설치 후 업데이트하는 데 약 15분 정도 걸릴 수 있습니다.

WatchGuard Firebox

다음 지침에 따라 syslog 를 통해 WatchGuard Firebox 로그 데이터를 보냅니다.

관련 콘텐츠