Share via

Syslog via AMA-gegevensconnector - Specifiek apparaat of apparaat configureren voor gegevensopname van Microsoft Sentinel

  • Artikel

Logboekverzameling van veel beveiligingsapparaten en apparaten wordt ondersteund door de Syslog via AMA-gegevensconnector in Microsoft Sentinel. In dit artikel vindt u een lijst met door de provider verstrekte installatie-instructies voor specifieke beveiligingsapparaten en apparaten die gebruikmaken van deze gegevensconnector. Neem contact op met de provider voor updates, meer informatie of waar informatie niet beschikbaar is voor uw beveiligingsapparaat of apparaat.

Als u gegevens wilt doorsturen naar uw Log Analytics-werkruimte voor Microsoft Sentinel, voert u de stappen uit voor het opnemen van syslog- en CEF-berichten naar Microsoft Sentinel met de Azure Monitor-agent. Wanneer u deze stappen uitvoert, installeert u syslog via AMA-gegevensconnector in Microsoft Sentinel. Gebruik vervolgens de instructies van de juiste provider in dit artikel om de installatie te voltooien.

Voor meer informatie over de gerelateerde Microsoft Sentinel-oplossing voor elk van deze apparaten of apparaten zoekt u in Azure Marketplace naar de oplossingssjablonen voor producttypen> of bekijkt u de oplossing vanuit de Inhoudshub in Microsoft Sentinel.

Barracuda CloudGen-firewall

Volg de instructies voor het configureren van syslog-streaming. Gebruik het IP-adres of de hostnaam voor de Linux-computer waarop de Microsoft Sentinel-agent is geïnstalleerd voor het doel-IP-adres .

Blackberry CylancePROTECT

Volg deze instructies om de CylancePROTECT te configureren om syslog door te sturen. Gebruik het IP-adres of de hostnaam voor het Linux-apparaat waarop de Linux-agent is geïnstalleerd als het doel-IP-adres .

Cisco Application Centric Infrastructure (ACI)

Configureer cisco ACI-systeem voor het verzenden van logboeken via syslog naar de externe server waarop u de agent installeert. Volg deze stappen om Syslog Destination, Destination Group en Syslog Source te configureren.

Deze gegevensconnector is ontwikkeld met Cisco ACI Release 1.x.

Cisco Identity Services Engine (ISE)

Volg deze instructies voor het configureren van externe syslog-verzamelingslocaties in uw Cisco ISE-implementatie.

Cisco Stealthwatch

Voer de volgende configuratiestappen uit om Cisco Stealthwatch-logboeken op te halen in Microsoft Sentinel.

  1. Meld u als beheerder aan bij de Stealthwatch Management Console (SMC).

  2. Selecteer Configuratieantwoordbeheer> in de menubalk.

  3. Selecteer Syslog-bericht toevoegen in de sectie Acties in het menu Antwoordbeheer.>

  4. Configureer parameters in het venster Syslog-berichtactie toevoegen.

  5. Voer de volgende aangepaste indeling in:

    |Lancope|Stealthwatch|7.3|{alarm_type_id}|0x7C|src={source_ip}|dst={target_ip}|dstPort={port}|proto={protocol}|msg={alarm_type_description}|fullmessage={details}|start={start_active_time}|end={end_active_time}|cat={alarm_category_name}|alarmID={alarm_id}|sourceHG={source_host_group_names}|targetHG={target_host_group_names}|sourceHostSnapshot={source_url}|targetHostSnapshot={target_url}|flowCollectorName={device_name}|flowCollectorIP={device_ip}|domain={domain_name}|exporterName={exporter_hostname}|exporterIPAddress={exporter_ip}|exporterInfo={exporter_label}|targetUser={target_username}|targetHostname={target_hostname}|sourceUser={source_username}|alarmStatus={alarm_status}|alarmSev={alarm_severity_name}

  6. Selecteer de aangepaste indeling in de lijst en OK.

  7. Selecteer Regels voor antwoordbeheer>.

  8. Selecteer Toevoegen en hostalarm.

  9. Geef een regelnaam op in het veld Naam .

  10. Maak regels door waarden te selecteren in de menu's Type en Opties . Als u meer regels wilt toevoegen, selecteert u het beletselteken. Voor een hostalarm combineert u zoveel mogelijk typen in een instructie.

Deze gegevensconnector is ontwikkeld met Cisco Stealthwatch versie 7.3.2

Cisco Unified Computing Systems (UCS)

Volg deze instructies om de Cisco UCS te configureren voor het doorsturen van Syslog. Gebruik het IP-adres of de hostnaam voor het Linux-apparaat waarop de Linux-agent is geïnstalleerd als het doel-IP-adres .

Notitie

De functionaliteit van deze gegevensconnector is afhankelijk van een Kusto Function-parser, die integraal is voor de werking ervan. Deze parser wordt geïmplementeerd als onderdeel van de installatie van de oplossing.

Werk de parser bij en geef de hostnaam op van de broncomputers die de logboeken verzenden in de eerste regel van de parser.

Als u toegang wilt krijgen tot de functiecode in Log Analytics, gaat u naar de sectie Log Analytics/Microsoft Sentinel-logboeken, selecteert u Functies en zoekt u naar de alias CiscoUCS. U kunt ook de functiecode rechtstreeks laden. Het kan ongeveer 15 minuten duren voordat de installatie is bijgewerkt.

Cisco Web Security Appliance (WSA)

Configureer Cisco om logboeken via Syslog door te sturen naar de externe server waarop u de agent installeert. Volg deze stappen om Cisco WSA te configureren voor het doorsturen van logboeken via Syslog

Selecteer Syslog Push als methode voor ophalen.

Deze gegevensconnector is ontwikkeld met AsyncOS 14.0 voor Cisco Web Security Appliance

Citrix Application Delivery Controller (ADC)

Configureer Citrix ADC (voormalig NetScaler) om logboeken door te sturen via Syslog.

  1. Navigeer naar het tabblad > Systeemcontrole > syslog-servers > > op het tabblad Configuratie
  2. Geef de naam van de Syslog-actie op.
  3. Stel het IP-adres van de externe Syslog-server en -poort in.
  4. Stel het transporttype in als TCP of UDP , afhankelijk van de configuratie van uw externe Syslog-server.
  5. Zie de Documentatie voor Citrix ADC (voormalig NetScaler) voor meer informatie.

Notitie

De functionaliteit van deze gegevensconnector is afhankelijk van een Kusto Function-parser, die integraal is voor de werking ervan. Deze parser wordt geïmplementeerd als onderdeel van de installatie van de oplossing. Als u toegang wilt krijgen tot de functiecode in Log Analytics, gaat u naar de sectie Log Analytics/Microsoft Sentinel-logboeken, selecteert u Functies en zoekt u naar de alias CitrixADCEvent. U kunt de functiecode ook rechtstreeks laden. Het kan ongeveer 15 minuten duren voordat de installatie is bijgewerkt.

Deze parser vereist een volglijst met de naam Sources_by_SourceType.

i. Als u nog geen volglijst hebt gemaakt, maakt u een volglijst van Microsoft Sentinel in Azure Portal.

ii. Open de volglijst Sources_by_SourceType en voeg vermeldingen toe voor deze gegevensbron.

ii. De SourceType-waarde voor CitrixADC is CitrixADC. Zie ASIM-parsers (Advanced Security Information Model) beheren voor meer informatie.

Digital Guardian-preventie van gegevensverlies

Voer de volgende stappen uit om Digital Guardian te configureren voor het doorsturen van logboeken via Syslog:

  1. Meld u aan bij de Digital Guardian-beheerconsole.
  2. Selecteer Export voor werkruimtegegevens>exporteren.>
  3. Selecteer waarschuwingen of gebeurtenissen in de lijst met gegevensbronnen als de gegevensbron.
  4. Selecteer Syslog in de lijst Exporttype.
  5. Selecteer UDP of TCP in de lijst Type als transportprotocol.
  6. Typ in het veld Server het IP-adres van uw externe syslog-server.
  7. Typ in het veld Poort 514 (of een andere poort als uw Syslog-server is geconfigureerd voor het gebruik van niet-standaardpoort).
  8. Selecteer een ernstniveau in de lijst Ernstniveau .
  9. Schakel het selectievakje Actief is in .
  10. Selecteer Volgende.
  11. Voeg in de lijst met beschikbare velden waarschuwings- of gebeurtenisvelden toe voor uw gegevensexport.
  12. Selecteer een criterium voor de velden in uw gegevensexport en Volgende.
  13. Selecteer een groep voor de criteria en Volgende.
  14. Selecteer Testquery.
  15. Selecteer Volgende.
  16. Sla de gegevensexport op.

ESET Protect-integratie

Configureer ESET PROTECT om alle gebeurtenissen via Syslog te verzenden.

  1. Volg deze instructies om syslog-uitvoer te configureren. Zorg ervoor dat u BSD selecteert als de indeling en TCP als het transport.
  2. Volg deze instructies om alle logboeken te exporteren naar syslog. Selecteer JSON als uitvoerindeling.

Exabeam Advanced Analytics

Volg deze instructies voor het verzenden van Exabeam Advanced Analytics-activiteitenlogboekgegevens via syslog.

Deze gegevensconnector is ontwikkeld met behulp van Exabeam Advanced Analytics i54 (Syslog)

Forescout

Voer de volgende stappen uit om Forescout-logboeken op te halen in Microsoft Sentinel.

  1. Selecteer een apparaat dat u wilt configureren.
  2. Volg deze instructies om waarschuwingen van het Forescout-platform door te sturen naar een syslog-server.
  3. Configureer de instellingen op het tabblad Syslog-triggers .

Deze gegevensconnector is ontwikkeld met de versie van de invoegtoepassing Forescout Syslog: v3.6

Gitlab

Volg deze instructies voor het verzenden van Gitlab-auditlogboekgegevens via syslog.

ISC Bind

  1. Volg deze instructies om de ISC Bind te configureren om syslog door te sturen: DNS-logboeken.
  2. Configureer syslog om het syslog-verkeer naar de agent te verzenden. Gebruik het IP-adres of de hostnaam voor het Linux-apparaat waarop de Linux-agent is geïnstalleerd als het doel-IP-adres .

Infoblox Network Identity Operating System (NIOS)

Volg deze instructies om het doorsturen van Syslog van NIOS-logboeken voor Infoblox in te schakelen. Gebruik het IP-adres of de hostnaam voor het Linux-apparaat waarop de Linux-agent is geïnstalleerd als het doel-IP-adres .

Notitie

De functionaliteit van deze gegevensconnector is afhankelijk van een Kusto Function-parser, die integraal is voor de werking ervan. Deze parser wordt geïmplementeerd als onderdeel van de installatie van de oplossing.

Als u toegang wilt krijgen tot de functiecode in Log Analytics, gaat u naar de sectie Log Analytics/Microsoft Sentinel-logboeken, selecteert u Functies en zoekt u naar de alias Infoblox. U kunt de functiecode ook rechtstreeks laden. Het kan ongeveer 15 minuten duren voordat de installatie is bijgewerkt.

Deze parser vereist een volglijst met de naam Sources_by_SourceType.

i. Als u nog geen volglijst hebt gemaakt, maakt u een volglijst van Microsoft Sentinel in Azure Portal.

ii. Open de volglijst Sources_by_SourceType en voeg vermeldingen toe voor deze gegevensbron.

ii. De sourceType-waarde voor InfobloxNIOS is InfobloxNIOS.

Zie ASIM-parsers (Advanced Security Information Model) beheren voor meer informatie.

Ivanti Unified Endpoint Management

Volg de instructies voor het instellen van waarschuwingsacties voor het verzenden van logboeken naar de syslog-server.

Deze gegevensconnector is ontwikkeld met ivanti Unified Endpoint Management Release 2021.1 versie 11.0.3.374

Juniper SRX

  1. Voer de volgende instructies uit om juniper SRX te configureren voor het doorsturen van syslog:

  2. Gebruik het IP-adres of de hostnaam voor het Linux-apparaat waarop de Linux-agent is geïnstalleerd als het doel-IP-adres .

McAfee Network Security Platform

Voer de volgende configuratiestappen uit om McAfee® Network Security Platform-logboeken op te halen in Microsoft Sentinel.

  1. Waarschuwingen van de manager doorsturen naar een syslog-server.

  2. U moet een syslog-meldingsprofiel toevoegen. Voer tijdens het maken van een profiel de volgende tekst in het tekstvak Bericht in om ervoor te zorgen dat gebeurtenissen correct zijn opgemaakt:

    <SyslogAlertForwarderNSP>:|SENSOR_ALERT_UUID|ALERT_TYPE|ATTACK_TIME|ATTACK_NAME|ATTACK_ID |ATTACK_SEVERITY|ATTACK_SIGNATURE|ATTACK_CONFIDENCE|ADMIN_DOMAIN|SENSOR_NAME|INTERFACE |SOURCE_IP|SOURCE_PORT|DESTINATION_IP|DESTINATION_PORT|CATEGORY|SUB_CATEGORY |DIRECTION|RESULT_STATUS|DETECTION_MECHANISM|APPLICATION_PROTOCOL|NETWORK_PROTOCOL|

Deze gegevensconnector is ontwikkeld met mcAfee® Network Security Platform versie: 10.1.x.

McAfee ePolicy Orchestrator

Neem contact op met de provider voor hulp bij het registreren van een syslog-server.

Microsoft Sysmon voor Linux

Deze gegevensconnector is afhankelijk van ASIM-parsers op basis van een Kusto-functie die werkt zoals verwacht. Implementeer de parsers.

De volgende functies worden geïmplementeerd:

  • vimFileEventLinuxSysmonFileCreated, vimFileEventLinuxSysmonFileDeleted
  • vimProcessCreateLinuxSysmon, vimProcessTerminateLinuxSysmon
  • vimNetworkSessionLinuxSysmon

Meer informatie

Nasuni

Volg de instructies in de Nasuni-beheerconsolehandleiding voor het configureren van Nasuni Edge-apparaten om syslog-gebeurtenissen door te sturen. Gebruik het IP-adres of de hostnaam van het Linux-apparaat waarop de Azure Monitor-agent wordt uitgevoerd in het configuratieveld Servers voor de syslog-instellingen.

OpenVPN

Installeer de agent op de server waarop de OpenVPN wordt doorgestuurd. OpenVPN-serverlogboeken worden geschreven in een algemeen Syslog-bestand (afhankelijk van de Gebruikte Linux-distributie: bijvoorbeeld /var/log/messages).

Oracle Database Audit

Voltooi de volgende stappen.

  1. Maak de Oracle-database . Volg deze stappen.
  2. Meld u aan bij de Oracle-database die u hebt gemaakt. Volg deze stappen.
  3. Schakel geïntegreerde logboekregistratie via syslog in door het systeem te wijzigen om geïntegreerde logboekregistratie in te schakelen door deze stappen te volgen.
  4. Maak en schakel een controlebeleid in voor geïntegreerde controle. Volg deze stappen.
  5. Voer deze stappen uit om syslog en Logboeken Captures in te schakelen voor de Unified Audit Trail.

Pulse Connect Secure

Volg de instructies om syslog-streaming van Pulse Connect Secure-logboeken in te schakelen. Gebruik het IP-adres of de hostnaam voor het Linux-apparaat waarop de Linux-agent is geïnstalleerd als het doel-IP-adres .

Notitie

De functionaliteit van deze gegevensconnector is afhankelijk van een Kusto Function-parser, die integraal is voor de werking ervan. Deze parser wordt geïmplementeerd als onderdeel van de installatie van de oplossing.

Werk de parser bij en geef de hostnaam op van de broncomputers die de logboeken verzenden in de eerste regel van de parser.

Als u toegang wilt krijgen tot de functiecode in Log Analytics, gaat u naar de sectie Log Analytics/Microsoft Sentinel-logboeken, selecteert u Functies en zoekt u naar de alias PulseConnectSecure. U kunt ook de functiecode rechtstreeks laden. Het kan ongeveer 15 minuten duren voordat de installatie is bijgewerkt.

RSA SecurID

Voer de volgende stappen uit om RSA® SecurID Authentication Manager-logboeken op te halen in Microsoft Sentinel. Volg deze instructies om waarschuwingen van Manager door te sturen naar een syslog-server.

Notitie

De functionaliteit van deze gegevensconnector is afhankelijk van een Kusto Function-parser, die integraal is voor de werking ervan. Deze parser wordt geïmplementeerd als onderdeel van de installatie van de oplossing.

Werk de parser bij en geef de hostnaam op van de broncomputers die de logboeken verzenden in de eerste regel van de parser.

Als u toegang wilt krijgen tot de functiecode in Log Analytics, gaat u naar de sectie Log Analytics/Microsoft Sentinel-logboeken, selecteert u Functies en zoekt u naar de alias RSASecurIDAMEvent. U kunt de functiecode ook rechtstreeks laden. Het kan ongeveer 15 minuten duren voordat de installatie is bijgewerkt.

Deze gegevensconnector is ontwikkeld met RSA SecurID Authentication Manager versie: 8.4 en 8.5

Sophos XG-firewall

Volg deze instructies om syslog-streaming in te schakelen. Gebruik het IP-adres of de hostnaam voor het Linux-apparaat waarop de Linux-agent is geïnstalleerd als het doel-IP-adres .

Notitie

De functionaliteit van deze gegevensconnector is afhankelijk van een Kusto Function-parser, die integraal is voor de werking ervan. Deze parser wordt geïmplementeerd als onderdeel van de installatie van de oplossing.

Werk de parser bij en geef de hostnaam op van de broncomputers die de logboeken verzenden in de eerste regel van de parser. Als u toegang wilt krijgen tot de functiecode in Log Analytics, gaat u naar de sectie Log Analytics/Microsoft Sentinel-logboeken, selecteert u Functies en zoekt u naar de alias SophosXGFirewall. U kunt ook de functiecode rechtstreeks laden. Het kan ongeveer 15 minuten duren voordat de installatie is bijgewerkt.

Symantec Endpoint Protection

Volg deze instructies voor het configureren van Symantec Endpoint Protection om syslog door te sturen. Gebruik het IP-adres of de hostnaam voor het Linux-apparaat waarop de Linux-agent is geïnstalleerd als het doel-IP-adres .

Notitie

De functionaliteit van deze gegevensconnector is afhankelijk van een Kusto Function-parser, die integraal is voor de werking ervan. Deze parser wordt geïmplementeerd als onderdeel van de installatie van de oplossing.

Werk de parser bij en geef de hostnaam op van de broncomputers die de logboeken verzenden in de eerste regel van de parser. Als u toegang wilt krijgen tot de functiecode in Log Analytics, gaat u naar de sectie Log Analytics/Microsoft Sentinel-logboeken, selecteert u Functies en zoekt u naar de alias SymantecEndpointProtection. U kunt de functiecode ook rechtstreeks laden. Het kan ongeveer 15 minuten duren voordat de installatie is bijgewerkt.

Symantec ProxySG

  1. Meld u aan bij de Blue Coat Management Console.

  2. Selecteer Indelingen voor logboekregistratie van configuratietoegang>>.

  3. Selecteer Nieuw.

  4. Voer een unieke naam in het veld Indelingsnaam in.

  5. Selecteer het keuzerondje voor tekenreeks voor aangepaste notatie en plak de volgende tekenreeks in het veld.

    1 $(date) $(time) $(time-taken) $(c-ip) $(cs-userdn) $(cs-auth-groups) $(x-exception-id) $(sc-filter-result) $(cs-categories) $(quot)$(cs(Referer))$(quot) $(sc-status) $(s-action) $(cs-method) $(quot)$(rs(Content-Type))$(quot) $(cs-uri-scheme) $(cs-host) $(cs-uri-port) $(cs-uri-path) $(cs-uri-query) $(cs-uri-extension) $(quot)$(cs(User-Agent))$(quot) $(s-ip) $(sr-bytes) $(rs-bytes) $(x-virus-id) $(x-bluecoat-application-name) $(x-bluecoat-application-operation) $(cs-uri-port) $(x-cs-client-ip-country) $(cs-threat-risk)

  6. Selecteer OK.

  7. Selecteer N toepassen.

  8. Volg deze instructies om syslog-streaming van Access-logboeken in te schakelen. Gebruik het IP-adres of de hostnaam voor het Linux-apparaat waarop de Linux-agent is geïnstalleerd als het doel-IP-adres

Notitie

De functionaliteit van deze gegevensconnector is afhankelijk van een Kusto Function-parser, die integraal is voor de werking ervan. Deze parser wordt geïmplementeerd als onderdeel van de installatie van de oplossing.

Werk de parser bij en geef de hostnaam op van de broncomputers die de logboeken verzenden in de eerste regel van de parser.

Als u toegang wilt krijgen tot de functiecode in Log Analytics, gaat u naar de sectie Log Analytics/Microsoft Sentinel-logboeken, selecteert u Functies en zoekt u naar de alias SymantecProxySG. U kunt ook de functiecode rechtstreeks laden. Het kan ongeveer 15 minuten duren voordat de installatie is bijgewerkt.

Symantec VIP

Volg deze instructies om de Symantec VIP Enterprise Gateway te configureren om Syslog door te sturen. Gebruik het IP-adres of de hostnaam voor het Linux-apparaat waarop de Linux-agent is geïnstalleerd als het doel-IP-adres .

Notitie

De functionaliteit van deze gegevensconnector is afhankelijk van een Kusto Function-parser, die integraal is voor de werking ervan. Deze parser wordt geïmplementeerd als onderdeel van de installatie van de oplossing.

Werk de parser bij en geef de hostnaam op van de broncomputers die de logboeken verzenden in de eerste regel van de parser.

Als u toegang wilt krijgen tot de functiecode in Log Analytics, gaat u naar de sectie Log Analytics/Microsoft Sentinel-logboeken, selecteert u Functies en zoekt u naar de alias SymantecVIP. U kunt ook de functiecode rechtstreeks laden. Het kan ongeveer 15 minuten duren voordat de installatie is bijgewerkt.

VMware ESXi

  1. Volg deze instructies om de VMware ESXi te configureren om syslog door te sturen:

  2. Gebruik het IP-adres of de hostnaam voor het Linux-apparaat waarop de Linux-agent is geïnstalleerd als het doel-IP-adres .

Notitie

De functionaliteit van deze gegevensconnector is afhankelijk van een Kusto Function-parser, die integraal is voor de werking ervan. Deze parser wordt geïmplementeerd als onderdeel van de installatie van de oplossing.

Werk de parser bij en geef de hostnaam op van de broncomputers die de logboeken verzenden in de eerste regel van de parser.

Als u toegang wilt krijgen tot de functiecode in Log Analytics, gaat u naar de sectie Log Analytics/Microsoft Sentinel-logboeken, selecteert u Functies en zoekt u naar de alias VMwareESXi. U kunt ook de functiecode rechtstreeks laden. Het kan ongeveer 15 minuten duren voordat de installatie is bijgewerkt.

WatchGuard Firebox

Volg deze instructies om WatchGuard Firebox-logboekgegevens via syslog te verzenden.

Gerelateerde inhoud