Zscaler Private Access-connector voor Microsoft Sentinel
De Zscaler Private Access-gegevensconnector (ZPA) biedt de mogelijkheid om Zscaler Private Access-gebeurtenissen op te nemen in Microsoft Sentinel. Raadpleeg de documentatie voor Zscaler Private Access voor meer informatie.
Dit is automatisch gegenereerde inhoud. Neem contact op met de provider van de oplossing voor wijzigingen.
Verbinding maken orkenmerken
Verbinding maken orkenmerk | Beschrijving |
---|---|
Kusto-functiealias | ZPAEvent |
Kusto-functie-URL | https://aka.ms/sentinel-ZscalerPrivateAccess-parser |
Log Analytics-tabellen | ZPA_CL |
Ondersteuning voor regels voor gegevensverzameling | Wordt momenteel niet ondersteund |
Ondersteund door | Microsoft Corporation |
Voorbeelden van query's
Alle logboeken
ZPAEvent
| sort by TimeGenerated
Installatie-instructies van leverancier
Notitie
Deze gegevensconnector is afhankelijk van een parser op basis van een Kusto-functie die werkt zoals verwacht. Volg deze stappen om de Kusto Functions-alias, ZPAEvent, te maken
Notitie
Deze gegevensconnector is ontwikkeld met Zscaler Private Access versie: 21.67.1
- De agent voor Linux of Windows installeren en onboarden
Installeer de agent op de server waarop de Zscaler Private Access-logboeken worden doorgestuurd.
Logboeken van Zscaler Private Access Server die op Linux- of Windows-servers zijn geïmplementeerd, worden verzameld door Linux- of Windows-agents.
- De logboeken configureren die moeten worden verzameld
Volg de onderstaande configuratiestappen om Zscaler Private Access-logboeken op te halen in Microsoft Sentinel. Raadpleeg de Documentatie voor Azure Monitor voor meer informatie over deze stappen. Zscaler Private Access-logboeken worden geleverd via Log Streaming Service (LSS). Raadpleeg de LSS-documentatie voor gedetailleerde informatie
Logboekontvangers configureren. Kies tijdens het configureren van een logboekontvanger JSON als logboeksjabloon.
Configuratiebestand zpa.conf wget -v https://aka.ms/sentinel-zscalerprivateaccess-conf -O zpa.conf downloaden
Meld u aan bij de server waarop u de Azure Log Analytics-agent hebt geïnstalleerd.
Kopieer zpa.conf naar de map /etc/opt/microsoft/omsagent/workspace_id/conf/omsagent.d/.
Bewerk zpa.conf als volgt:
a. geef de poort op waarnaar u uw Zscaler-logboekontvangers hebt ingesteld om logboeken door te sturen naar (regel 4)
b. zpa.conf gebruikt standaard poort 22033 . Zorg ervoor dat deze poort niet wordt gebruikt door een andere bron op uw server
c. Als u de standaardpoort voor zpa.conf wilt wijzigen, moet u ervoor zorgen dat deze geen conflict krijgt met standaardpoorten van de AMA-agent, d.w.z. (CEF gebruikt bijvoorbeeld TCP-poort 25226 of 25224)
d. vervang workspace_id door de werkelijke waarde van uw werkruimte-id (regel 14.15.16.19)
Sla wijzigingen op en start de Azure Log Analytics-agent voor de Linux-service opnieuw met de volgende opdracht: sudo /opt/microsoft/omsagent/bin/service_control opnieuw opstarten
Volgende stappen
Ga naar de gerelateerde oplossing in Azure Marketplace voor meer informatie.
Feedback
https://aka.ms/ContentUserFeedback.
Binnenkort: Gedurende 2024 worden GitHub Issues uitgefaseerd als het feedbackmechanisme voor inhoud. Dit wordt vervangen door een nieuw feedbacksysteem. Ga voor meer informatie naar:Feedback verzenden en bekijken voor