CEF via AMA-gegevensconnector - Specifiek apparaat of apparaat configureren voor gegevensopname van Microsoft Sentinel

Logboekverzameling van veel beveiligingsapparaten en apparaten wordt ondersteund door de Cef (Common Event Format) via AMA-gegevensconnector in Microsoft Sentinel. In dit artikel vindt u een lijst met door de provider verstrekte installatie-instructies voor specifieke beveiligingsapparaten en apparaten die gebruikmaken van deze gegevensconnector. Neem contact op met de provider voor updates, meer informatie of waar informatie niet beschikbaar is voor uw beveiligingsapparaat of apparaat.

Als u gegevens wilt doorsturen naar uw Log Analytics-werkruimte voor Microsoft Sentinel, voert u de stappen uit voor het opnemen van syslog- en CEF-berichten naar Microsoft Sentinel met de Azure Monitor-agent. Wanneer u deze stappen uitvoert, installeert u de CEF (Common Event Format) via AMA-gegevensconnector in Microsoft Sentinel. Gebruik vervolgens de instructies van de juiste provider in dit artikel om de installatie te voltooien.

Voor meer informatie over de gerelateerde Microsoft Sentinel-oplossing voor elk van deze apparaten of apparaten zoekt u in Azure Marketplace naar de oplossingssjablonen voor producttypen> of bekijkt u de oplossing vanuit de Inhoudshub in Microsoft Sentinel.

AI-analist Darktrace

Configureer Darktrace om syslog-berichten in CEF-indeling door te sturen naar uw Azure-werkruimte via de syslog-agent.

1. Navigeer in de Darktrace Threat Visualizer naar de pagina Systeemconfiguratie in het hoofdmenu onder Beheerder.
2. Selecteer Modules in het linkermenu en kies Microsoft Sentinel in de beschikbare werkstroomintegraties.
3. Zoek Microsoft Sentinel syslog CEF en selecteer Nieuw om de configuratie-instellingen weer te geven, tenzij deze al beschikbaar zijn.
4. Voer in het veld Serverconfiguratie de locatie van de logboekstuurserver in en wijzig eventueel de communicatiepoort. Zorg ervoor dat de geselecteerde poort is ingesteld op 514 en is toegestaan door tussenliggende firewalls.
5. Configureer eventuele waarschuwingsdrempels, tijdverschuivingen of andere instellingen indien nodig.
6. Bekijk alle andere configuratieopties die u mogelijk wilt inschakelen om de syslog-syntaxis te wijzigen.
7. Schakel Waarschuwingen verzenden in en sla uw wijzigingen op.

Akamai Security Events

Volg deze stappen om de Akamai CEF-connector te configureren voor het verzenden van syslog-berichten in CEF-indeling naar de proxycomputer. Zorg ervoor dat u de logboeken naar poort 514 TCP verzendt op het IP-adres van de computer.

AristaAwakeSecurity

Voer de volgende stappen uit om Awake Adversarial Model-resultaten door te sturen naar een CEF-collector die luistert op TCP-poort 514 op IP 192.168.0.1:

1. Navigeer naar de pagina Detectiebeheervaardigheden in de gebruikersinterface wakker.
2. Selecteer + Nieuwe vaardigheid toevoegen.
3. Expressie instellen opintegrations.cef.tcp { destination: "192.168.0.1", port: 514, secure: false, severity: Warning }
4. Stel titel in op een beschrijvende naam, zoals Forward Awake Adversarial Model match result to Microsoft Sentinel.
5. Stel referentie-id in op iets dat gemakkelijk kan worden gedetecteerd, zoals integrations.cef.sentinel-forwarder.
6. Selecteer Opslaan.

Binnen een paar minuten nadat de definitie en andere velden zijn opgeslagen, begint het systeem nieuwe modelmatchresultaten te verzenden naar de CEF-gebeurtenisverzamelaar wanneer ze worden gedetecteerd.

Zie voor meer informatie de pagina Een push-integratie voor beveiligingsinformatie en gebeurtenisbeheer toevoegen vanuit de Help-documentatie in de gebruikersinterface.

Aruba ClearPass

Configureer Aruba ClearPass om syslog-berichten in CEF-indeling door te sturen naar uw Microsoft Sentinel-werkruimte via de syslog-agent.

1. Volg deze instructies om de Aruba ClearPass te configureren om syslog door te sturen.
2. Gebruik het IP-adres of de hostnaam voor het Linux-apparaat waarop de Linux-agent is geïnstalleerd als het doel-IP-adres .

Barracuda WAF

De Barracuda Web Application Firewall kan rechtstreeks met Microsoft Sentinel worden geïntegreerd en geëxporteerd via de Azure Monitoring Agent (AMA).

1. Ga naar de Configuratie van Barracuda WAF en volg de instructies met behulp van de volgende parameters om de verbinding in te stellen.

2. Web Firewall registreert faciliteit: ga naar de geavanceerde instellingen voor uw werkruimte en op de tabbladen Data>Syslog. Zorg ervoor dat de faciliteit bestaat.

U ziet dat de gegevens uit alle regio's worden opgeslagen in de geselecteerde werkruimte.

Broadcom SymantecDLP

Configureer Symantec DLP om syslog-berichten in CEF-indeling door te sturen naar uw Microsoft Sentinel-werkruimte via de syslog-agent.

1. Volg deze instructies om de Symantec DLP te configureren om syslog door te sturen
2. Gebruik het IP-adres of de hostnaam voor het Linux-apparaat waarop de Linux-agent is geïnstalleerd als het doel-IP-adres .

Cisco Firepower EStreamer

Installeer en configureer de Firepower eNcore eStreamer-client. Zie de volledige installatiehandleiding voor meer informatie.

CiscoSEG

Voer de volgende stappen uit om Cisco Secure Email Gateway te configureren voor het doorsturen van logboeken via syslog:

1. Configureer het logboekabonnement.
2. Selecteer Geconsolideerde gebeurtenislogboeken in het veld Logboektype.

Citrix Web App Firewall

Configureer Citrix WAF voor het verzenden van syslog-berichten in CEF-indeling naar de proxycomputer.

• Zoek handleidingen voor het configureren van WAF- en CEF-logboeken vanuit Citrix Support.

• Volg deze handleiding om de logboeken door te sturen naar de proxy. Zorg ervoor dat u de logboeken naar poort 514 TCP verzendt op het IP-adres van de Linux-computer.

Claroty

Configureer het doorsturen van logboeken met CEF.

1. Navigeer naar de sectie Syslog van het menu Configuratie.
2. Selecteer +Toevoegen.
3. Geef in het dialoogvenster Nieuwe Syslog toevoegen het IP-adres van de externe server, poort, protocol op.
4. Selecteer CEF voor berichtindeling - .
5. Kies Opslaan om het dialoogvenster Syslog toevoegen af te sluiten.

Contrast beveiligen

Configureer de Contrast Protect-agent om gebeurtenissen door te sturen naar Syslog, zoals hier wordt beschreven: https://docs.contrastsecurity.com/en/output-to-syslog.html. Genereer enkele aanvalsevenementen voor uw toepassing.

CrowdStrike Falcon

Implementeer de CrowdStrike Falcon SIEM Collector om syslog-berichten in CEF-indeling door te sturen naar uw Microsoft Sentinel-werkruimte via de syslog-agent.

1. Volg deze instructies voor het implementeren van de SIEM Collector en het doorsturen van Syslog.
2. Gebruik het IP-adres of de hostnaam voor het Linux-apparaat waarop de Linux-agent is geïnstalleerd als het doel-IP-adres.

Gebeurtenissen van CyberArk Enterprise Password Vault (EPV)

Configureer op de EPV de dbparm.ini om syslog-berichten in CEF-indeling naar de proxycomputer te verzenden. Zorg ervoor dat u de logboeken verzendt naar poort 514 TCP op het IP-adres van de machines.

Delinea Secret Server

Stel uw beveiligingsoplossing in om syslog-berichten in CEF-indeling naar de proxycomputer te verzenden. Zorg ervoor dat u de logboeken naar poort 514 TCP verzendt op het IP-adres van de computer.

ExtraHop Reveal(x)

Stel uw beveiligingsoplossing in om syslog-berichten in CEF-indeling naar de proxycomputer te verzenden. Zorg ervoor dat u de logboeken verzendt naar poort 514 TCP op het IP-adres van de computer.

1. Volg de aanwijzingen om de bundel ExtraHop Detection SIEM Connector te installeren op uw Reveal(x)-systeem. De SIEM-connector is vereist voor deze integratie.
2. Schakel de trigger in voor ExtraHop Detection SIEM Connector - CEF.
3. Werk de trigger bij met de ODS Syslog-doelen die u hebt gemaakt. 

Het systeem Reveal(x) formatteert syslog-berichten in CEF (Common Event Format) en verzendt vervolgens gegevens naar Microsoft Sentinel.

F5 Networks

Configureer F5 om syslog-berichten in CEF-indeling door te sturen naar uw Microsoft Sentinel-werkruimte via de syslog-agent.

Ga naar F5 Application Security Event Logging configureren, volg de instructies voor het instellen van externe logboekregistratie met behulp van de volgende richtlijnen:

1. Stel het externe opslagtype in op CEF.
2. Stel de protocolinstelling in op UDP.
3. Stel het IP-adres in op het IP-adres van de Syslog-server.
4. Stel het poortnummer in op 514 of de poort die uw agent gebruikt.
5. Stel de faciliteit in op de faciliteit die u hebt geconfigureerd in de syslog-agent. Standaard stelt de agent deze waarde in op local4.
6. U kunt instellen dat de maximale tekenreeksgrootte voor query's hetzelfde is als u hebt geconfigureerd.

FireEye-netwerkbeveiliging

Voer de volgende stappen uit om gegevens te verzenden met CEF:

1. Meld u aan bij het FireEye-apparaat met een beheerdersaccount.

2. Selecteer Instellingen.

3. Selecteer Meldingen. Selecteer rsyslog.

4. Schakel het selectievakje Gebeurtenistype in.

5. Zorg ervoor dat Rsyslog-instellingen zijn:

   • Standaardindeling: CEF
   • Standaardlevering: Per gebeurtenis
   • Standaard verzenden als: Waarschuwing

Forcepoint CASB

Stel uw beveiligingsoplossing in om syslog-berichten in CEF-indeling naar de proxycomputer te verzenden. Zorg ervoor dat u de logboeken naar poort 514 TCP verzendt op het IP-adres van de computer.

Forcepoint CSG

De integratie wordt beschikbaar gesteld met twee implementatieopties:

1. Maakt gebruik van docker-installatiekopieën waarbij het integratieonderdeel al is geïnstalleerd met alle benodigde afhankelijkheden. Volg de instructies in de integratiehandleiding.
2. Vereist de handmatige implementatie van het integratieonderdeel op een schone Linux-machine. Volg de instructies in de integratiehandleiding.

Forcepoint NGFW

Stel uw beveiligingsoplossing in om syslog-berichten in CEF-indeling naar de proxycomputer te verzenden. Zorg ervoor dat u de logboeken naar poort 514 TCP verzendt op het IP-adres van de computer.

Algemene audit forgeRock voor CEF

Installeer en configureer in ForgeRock deze Common Audit (CAUD) voor Microsoft Sentinel volgens de documentatie op https://github.com/javaservlets/SentinelAuditEventHandler. Volg vervolgens in Azure de stappen voor het configureren van de CEF via AMA-gegevensconnector.

iboss

Stel uw Bedreigingsconsole in om syslog-berichten in CEF-indeling naar uw Azure-werkruimte te verzenden. Noteer uw werkruimte-id en primaire sleutel in uw Log Analytics-werkruimte. Selecteer de werkruimte in het menu Log Analytics-werkruimten in Azure Portal. Selecteer vervolgens Agents-beheer in de sectie Instellingen .

1. Navigeer naar Rapportage & Analytics in uw iboss-console.
2. Selecteer Doorsturen door logboeken>vanuit de rapportfunctie.
3. Selecteer Acties>toevoegen service.
4. Schakel microsoft Sentinel in als een servicetype en voer uw werkruimte-id/primaire sleutel in, samen met andere criteria. Als een toegewezen linux-proxycomputer is geconfigureerd, schakelt u syslog als een servicetype in en configureert u de instellingen om naar uw toegewezen proxy-Linux-machine te verwijzen.
5. Wacht één tot twee minuten totdat de installatie is voltooid.
6. Selecteer uw Microsoft Sentinel-service en controleer of de configuratiestatus van Microsoft Sentinel is geslaagd. Als een toegewezen linux-proxycomputer is geconfigureerd, kunt u de verbinding valideren.

Illumio Core

Gebeurtenisindeling configureren.

1. Kies in het menu van de PCE-webconsole instellingen > voor gebeurtenisinstellingen om uw huidige instellingen weer te geven.
2. Selecteer Bewerken om de instellingen te wijzigen.
3. Gebeurtenisindeling instellen op CEF.
4. (Optioneel) Ernst en bewaarperiode voor gebeurtenissen configureren.

Configureer doorsturen van gebeurtenissen naar een externe Syslog-server.

1. Kies in het menu pcE-webconsole instellingen> voor instellingen.
2. Selecteer Toevoegen.
3. Selecteer Opslagplaats toevoegen.
4. Voltooi het dialoogvenster Opslagplaats toevoegen.
5. Selecteer OK om de configuratie voor het doorsturen van gebeurtenissen op te slaan.

Illusive Platform

1. Stel uw beveiligingsoplossing in om syslog-berichten in CEF-indeling naar de proxycomputer te verzenden. Zorg ervoor dat u de logboeken naar poort 514 TCP verzendt op het IP-adres van de computer.

2. Meld u aan bij de Illusive-console en navigeer naar Instellingenrapportage>.

3. Zoek Syslog-servers.

4. Geef de volgende informatie op:

   • Hostnaam: IP-adres van Linux Syslog-agent of FQDN-hostnaam
   • Poort: 514
   • Protocol: TCP
   • Controleberichten: Controleberichten verzenden naar server

5. Als u de syslog-server wilt toevoegen, selecteert u Toevoegen.

Voor meer informatie over het toevoegen van een nieuwe syslog-server in het Illusive-platform, vindt u hier de beheerdershandleiding voor Illusive Networks: https://support.illusivenetworks.com/hc/en-us/sections/360002292119-Documentation-by-Version

Imperva WAF-gateway

Voor deze connector moeten een actie-interface en actieset worden gemaakt op de Imperva SecureSphere MX. Volg de stappen om de vereisten te maken.

1. Maak een nieuwe actie-interface die de vereiste parameters bevat voor het verzenden van WAF-waarschuwingen naar Microsoft Sentinel.
2. Maak een nieuwe actieset die gebruikmaakt van de actie-interface die is geconfigureerd.
3. Pas de actieset toe op alle beveiligingsbeleidsregels waarvoor u waarschuwingen wilt ontvangen voor verzending naar Microsoft Sentinel.

Infoblox Cloud Data Connector

Voer de volgende stappen uit om de Infoblox CDC te configureren voor het verzenden van BloxOne-gegevens naar Microsoft Sentinel via de Linux Syslog-agent.

1. Navigeer naar Gegevensconnector beheren>.
2. Selecteer het tabblad Doelconfiguratie bovenaan.
3. Selecteer Syslog maken>.
   • Naam: Geef de nieuwe bestemming een betekenisvolle naam, zoals Microsoft-Sentinel-Destination.
   • Beschrijving: Geef het desgewenst een zinvolle beschrijving.
   • Status: Stel de status in op Ingeschakeld.
   • Indeling: Stel de indeling in op CEF.
   • FQDN/IP: voer het IP-adres in van het Linux-apparaat waarop de Linux-agent is geïnstalleerd.
   • Poort: laat het poortnummer op 514 staan.
   • Protocol: Selecteer indien van toepassing het gewenste protocol en ca-certificaat.
   • Selecteer Opslaan en sluiten.
4. Selecteer het tabblad Configuratie van verkeersstromen bovenaan.
5. Selecteer Maken.
   • Naam: Geef de nieuwe verkeersstroom een betekenisvolle naam, zoals Microsoft-Sentinel-Flow.
   • Beschrijving: Geef het desgewenst een zinvolle beschrijving.
   • Status: Stel de status in op Ingeschakeld.
   • Vouw de sectie Service-exemplaar uit.
     • Service-exemplaar: selecteer het gewenste service-exemplaar waarvoor de dataconnectorservice is ingeschakeld.
   • Vouw de sectie Bronconfiguratie uit.
     • Bron: Selecteer BloxOne Cloud Source.
     • Selecteer alle gewenste logboektypen die u wilt verzamelen. Momenteel ondersteunde logboektypen zijn:
       • Threat Defense-query/antwoordlogboek
       • Bedreigingsfeeds voor threat defense-logboeken
       • DDI-query/antwoordlogboek
       • DDI DHCP-leaselogboek
   • Vouw de sectie Doelconfiguratie uit.
     • Selecteer de bestemming die u hebt gemaakt.
   • Selecteer Opslaan en sluiten.
6. De configuratie enige tijd toestaan om te activeren.

Infoblox SOC Insights

Voer de volgende stappen uit om de Infoblox CDC te configureren voor het verzenden van BloxOne-gegevens naar Microsoft Sentinel via de Linux Syslog-agent.

1. Navigeer naar Gegevensconnector beheren>.
2. Selecteer het tabblad Doelconfiguratie bovenaan.
3. Selecteer Syslog maken>.
   • Naam: Geef de nieuwe bestemming een betekenisvolle naam, zoals Microsoft-Sentinel-Destination.
   • Beschrijving: Geef het desgewenst een zinvolle beschrijving.
   • Status: Stel de status in op Ingeschakeld.
   • Indeling: Stel de indeling in op CEF.
   • FQDN/IP: voer het IP-adres in van het Linux-apparaat waarop de Linux-agent is geïnstalleerd.
   • Poort: laat het poortnummer op 514 staan.
   • Protocol: Selecteer indien van toepassing het gewenste protocol en ca-certificaat.
   • Selecteer Opslaan en sluiten.
4. Selecteer het tabblad Configuratie van verkeersstromen bovenaan.
5. Selecteer Maken.
   • Naam: Geef de nieuwe verkeersstroom een betekenisvolle naam, zoals Microsoft-Sentinel-Flow.
   • Beschrijving: Geef het desgewenst een zinvolle beschrijving.
   • Status: Stel de status in op Ingeschakeld.
   • Vouw de sectie Service-exemplaar uit.
     • Service-exemplaar: selecteer het gewenste service-exemplaar waarvoor de gegevensconnectorservice is ingeschakeld.
   • Vouw de sectie Bronconfiguratie uit.
     • Bron: Selecteer BloxOne Cloud Source.
     • Selecteer het logboektype Interne meldingen .
   • Vouw de sectie Doelconfiguratie uit.
     • Selecteer de bestemming die u hebt gemaakt.
   • Selecteer Opslaan en sluiten.
6. De configuratie enige tijd toestaan om te activeren.

SecurityCenter Van Den

Volg de instructies voor het configureren van gebeurtenisexport vanuit Het Beveiligingscentrum van Security Center.

Morphisec

Stel uw beveiligingsoplossing in om syslog-berichten in CEF-indeling naar de proxycomputer te verzenden. Zorg ervoor dat u de logboeken naar poort 514 TCP verzendt op het IP-adres van de computer.

Netwrix Auditor

Volg de instructies voor het configureren van gebeurtenisexport vanuit Netwrix Auditor.

NozomiNetworks

Voer de volgende stappen uit om het Nozomi Networks-apparaat te configureren voor het verzenden van waarschuwingen, controle en statuslogboeken via syslog in CEF-indeling:

1. Meld u aan bij de Guardian-console.
2. Navigeer naar Beheer> Data-Integratie.
3. Selecteer +Toevoegen.
4. Selecteer de CEF (Common Event Format) in de vervolgkeuzelijst.
5. Maak een nieuw eindpunt met behulp van de juiste hostgegevens.
6. Schakel waarschuwingen, auditlogboeken en statuslogboeken in voor verzending.

Onapsis Platform

Raadpleeg de Help van Onapsis in het product voor het instellen van het doorsturen van logboeken naar de syslog-agent.

1. Ga naar >Integraties>van derden van derden verdedigen en volg de instructies voor Microsoft Sentinel.

2. Zorg ervoor dat de Onapsis-console de proxycomputer kan bereiken waarop de agent is geïnstalleerd. De logboeken moeten worden verzonden naar poort 514 via TCP.

OSSEC

Volg deze stappen om OSSEC-waarschuwingen te configureren die via syslog worden verzonden.

Palo Alto - XDR (Cortex)

Configureer Palo Alto XDR (Cortex) om berichten in CEF-indeling door te sturen naar uw Microsoft Sentinel-werkruimte via de syslog-agent.

1. Ga naar Cortex-instellingen en -configuraties.
2. Selecteer deze optie om nieuwe server toe te voegen onder Externe toepassingen.
3. Geef vervolgens de naam op en geef het openbare IP-adres van uw syslog-server op in Doel.
4. Geef poortnummer op als 514.
5. Selecteer in het veld Faciliteit FAC_SYSLOG in de vervolgkeuzelijst.
6. Selecteer Protocol als UDP.
7. Selecteer Maken.

PaloAlto-PAN-OS

Configureer Palo Alto Networks om syslog-berichten in CEF-indeling door te sturen naar uw Microsoft Sentinel-werkruimte via de syslog-agent.

1. Ga naar Palo Alto Networks NGFW configureren voor het verzenden van CEF-gebeurtenissen.

2. Ga naar Palo Alto CEF Configuration en Palo Alto Configure Syslog Monitoring stappen 2, 3, kies uw versie en volg de instructies volgens de volgende richtlijnen:

   1. Stel de Syslog-serverindeling in op BSD.
   2. Kopieer de tekst naar een editor en verwijder alle tekens die de logboekindeling kunnen verbreken voordat u deze plakt. De kopieer-/plakbewerkingen uit het PDF-bestand kunnen de tekst wijzigen en willekeurige tekens invoegen.

Meer informatie

PaloAltoCDL

Volg de instructies voor het configureren van logboeken die worden doorgestuurd van Cortex Data Lake naar een syslog-server.

PingFederate

Volg deze stappen om PingFederate te configureren voor het verzenden van auditlogboeken via syslog in CEF-indeling.

RidgeSecurity

Configureer RidgeBot om gebeurtenissen door te sturen naar de Syslog-server, zoals hier wordt beschreven. Genereer enkele aanvalsevenementen voor uw toepassing.

SonicWall Firewall

Stel uw SonicWall Firewall in om syslog-berichten in CEF-indeling naar de proxycomputer te verzenden. Zorg ervoor dat u de logboeken naar poort 514 TCP verzendt op het IP-adres van de computer.

Volg de instructies. Zorg er vervolgens voor dat u lokaal gebruik 4 als faciliteit selecteert. Selecteer vervolgens ArcSight als syslog-indeling.

Trend Micro Apex One

Volg deze stappen om Apex Central-waarschuwingen te configureren via syslog. Selecteer tijdens het configureren bij stap 6 de CEF-indeling van het logboek.

Deep Security van Trend Micro

Stel uw beveiligingsoplossing in om syslog-berichten in CEF-indeling naar de proxycomputer te verzenden. Zorg ervoor dat u de logboeken verzendt naar poort 514 TCP op het IP-adres van de computer.

1. Trend Micro Deep Security-gebeurtenissen doorsturen naar de Syslog-agent.
2. Definieer een nieuwe syslog-configuratie die gebruikmaakt van de CEF-indeling door te verwijzen naar dit kennisartikel voor aanvullende informatie.
3. Configureer Deep Security Manager om deze nieuwe configuratie te gebruiken om gebeurtenissen door te sturen naar de syslog-agent met behulp van deze instructies.
4. Zorg ervoor dat u de functie TrendMicroDeepSecurity opslaat, zodat er correct query's worden uitgevoerd op de Trend Micro Deep Security-gegevens.

Trend Micro TippingPoint

Stel uw TippingPoint SMS in om syslog-berichten in ArcSight CEF-indeling v4.2-indeling naar de proxycomputer te verzenden. Zorg ervoor dat u de logboeken naar poort 514 TCP verzendt op het IP-adres van de computer.

vArmour-toepassingscontroller

Syslog-berichten verzenden in CEF-indeling naar de proxycomputer. Zorg ervoor dat u de logboeken naar poort 514 TCP verzendt op het IP-adres van de computer.

Download de gebruikershandleiding van https://support.varmour.com/hc/en-us/articles/360057444831-vArmour-Application-Controller-6-0-User-Guide. Raadpleeg in de gebruikershandleiding 'Syslog configureren voor bewaking en schendingen' en volg stap 1 tot en met 3.

Vectra AI Detect

Configureer de Vectra-agent (X Series) om syslog-berichten in CEF-indeling door te sturen naar uw Microsoft Sentinel-werkruimte via de syslog-agent.

Navigeer vanuit de Vectra-gebruikersinterface naar instellingenmeldingen > en bewerk de syslog-configuratie. Volg de onderstaande instructies om de verbinding in te stellen:

1. Voeg een nieuwe bestemming toe (dit is de host waarop de Syslog-agent van Microsoft Sentinel wordt uitgevoerd).
2. Stel de poort in op 514.
3. Stel het protocol in als UDP.
4. Stel de indeling in op CEF.
5. Logboektypen instellen. Selecteer alle beschikbare logboektypen.
6. Selecteer Opslaan.
7. Selecteer de knop Testen om een aantal testevenementen te verzenden.

Zie voor meer informatie de Cognito Detect Syslog Guide, die kan worden gedownload van de resourcepagina in Detect UI.

Votiro

Stel Votiro-eindpunten in om syslog-berichten in CEF-indeling te verzenden naar de doorstuurmachine. Zorg ervoor dat u de logboeken naar poort 514 TCP verzendt op het IP-adres van de doorstuurmachine.

WireX Network Forensics Platform

Neem contact op met WireX-ondersteuning (https://wirexsystems.com/contact-us/) om uw NFP-oplossing te configureren voor het verzenden van syslog-berichten in CEF-indeling naar de proxycomputer. Zorg ervoor dat de centrale manager de logboeken kan verzenden naar poort 514 TCP op het IP-adres van de computer.

Met Onveilige elementen via connector

Verbind uw WithSecure Elements Connector-apparaat met Microsoft Sentinel. Met de gegevensconnector WithSecure Elements Connector kunt u eenvoudig uw WithSecure Elements-logboeken verbinden met Microsoft Sentinel, dashboards bekijken, aangepaste waarschuwingen maken en onderzoek verbeteren.

Notitie

Gegevens worden opgeslagen op de geografische locatie van de werkruimte waarop u Microsoft Sentinel uitvoert.

Configureer met Secure Elements Connector om syslog-berichten in CEF-indeling door te sturen naar uw Log Analytics-werkruimte via de syslog-agent.

1. Selecteer of maak een Linux-machine voor Microsoft Sentinel die u wilt gebruiken als proxy tussen uw WithSecurity-oplossing en Microsoft Sentinel. De machine kan een on-premises omgeving, Microsoft Azure of een andere cloudomgeving zijn. Linux moet zijn geïnstalleerd en python/python3 geïnstalleerd.syslog-ng
2. Installeer de Azure Monitoring Agent (AMA) op uw Linux-computer en configureer de machine om te luisteren naar de benodigde poort en berichten door te sturen naar uw Microsoft Sentinel-werkruimte. De CEF-collector verzamelt CEF-berichten op poort 514 TCP. U moet verhoogde machtigingen (sudo) hebben op uw computer.
3. Ga naar EPP in WithSecure Elements Portal. Navigeer vervolgens naar Downloads. Selecteer in de sectie Elements Connector de optie Abonnementssleutel maken. U kunt uw abonnementssleutel controleren in Abonnementen.
4. Selecteer in de sectie Downloads in WithSecure Elements Connector het juiste installatieprogramma en download het.
5. Wanneer u in EPP bent, opent u accountinstellingen in de rechterbovenhoek. Selecteer vervolgens De API-sleutel voor beheer ophalen. Als de sleutel eerder is gemaakt, kan deze ook daar worden gelezen.
6. Als u Elements Connector wilt installeren, volgt u De docs van de Elements Connector.
7. Als API-toegang niet is geconfigureerd tijdens de installatie, volgt u API-toegang configureren voor Elements Connector.
8. Ga naar EPP en vervolgens Profielen en gebruik vervolgens Voor Connector waar u de connectorprofielen kunt zien. Maak een nieuw profiel (of bewerk een bestaand niet-alleen-lezenprofiel). Schakel deze functie in bij Het doorsturen van gebeurtenissen. Stel het SIEM-systeemadres in: 127.0.0.1:514. Stel de notatie in op Common Event Format. Protocol is TCP. Sla het profiel op en wijs het toe aan Elements Connector op het tabblad Apparaten .
9. Als u het relevante schema in Log Analytics wilt gebruiken voor de WithSecure Elements Connector, zoekt u naar CommonSecurityLog.
10. Ga door met het valideren van uw CEF-connectiviteit.

Zscaler

Stel het Zscaler-product in om syslog-berichten in CEF-indeling naar uw Syslog-agent te verzenden. Zorg ervoor dat u de logboeken verzendt op poort 514 TCP.

Zie de handleiding voor Zscaler Microsoft Sentinel-integratie voor meer informatie.

Gerelateerde inhoud

• Syslog- en CEF-berichten opnemen in Microsoft Sentinel met de Azure Monitor-agent
• Syslog via AMA en Common Event Format (CEF) via AMA-connectors voor Microsoft Sentinel