[Przestarzałe] Łącznik Zscaler Private Access dla usługi Microsoft Sentinel
Ważne
Zbieranie dzienników z wielu urządzeń i urządzeń jest teraz obsługiwane przez format Common Event Format (CEF) za pośrednictwem amA, dziennika systemowego za pośrednictwem usługi AMA lub dzienników niestandardowych za pośrednictwem łącznika danych AMA w usłudze Microsoft Sentinel. Aby uzyskać więcej informacji, zobacz Znajdowanie łącznika danych usługi Microsoft Sentinel.
Łącznik danych Zscaler Private Access (ZPA) zapewnia możliwość pozyskiwania zdarzeń Zscaler Private Access do usługi Microsoft Sentinel. Aby uzyskać więcej informacji, zapoznaj się z dokumentacją usługi Zscaler Private Access.
Jest to automatycznie wygenerowana zawartość. W przypadku zmian skontaktuj się z dostawcą rozwiązania.
Atrybuty łącznika
| Atrybut łącznika | opis |
|---|---|
| Alias funkcji Kusto | ZPAEvent |
| Adres URL funkcji Kusto | https://aka.ms/sentinel-ZscalerPrivateAccess-parser |
| Tabele usługi Log Analytics | ZPA_CL |
| Obsługa reguł zbierania danych | Obecnie nieobsługiwane |
| Obsługiwane przez | Microsoft Corporation |
Przykłady zapytań
Wszystkie dzienniki
ZPAEvent
| sort by TimeGenerated
Instrukcje instalacji dostawcy
Uwaga
Ten łącznik danych zależy od analizatora opartego na funkcji Kusto, która działa zgodnie z oczekiwaniami. Wykonaj następujące kroki , aby utworzyć alias usługi Kusto Functions, ZPAEvent
Uwaga
Ten łącznik danych został opracowany przy użyciu usługi Zscaler Private Access w wersji 21.67.1
- Instalowanie i dołączanie agenta dla systemu Linux lub Windows
Zainstaluj agenta na serwerze, na którym są przekazywane dzienniki Zscaler Private Access.
Dzienniki z serwera Zscaler Private Access wdrożonego na serwerach z systemem Linux lub Windows są zbierane przez agentów systemu Linux lub Windows .
- Konfigurowanie dzienników do zebrania
Wykonaj poniższe kroki konfiguracji, aby uzyskać dzienniki dostępu prywatnego usługi Zscaler do usługi Microsoft Sentinel. Aby uzyskać więcej informacji na temat tych kroków, zapoznaj się z dokumentacją usługi Azure Monitor. Dzienniki dostępu prywatnego usługi Zscaler są dostarczane za pośrednictwem usługi przesyłania strumieniowego dzienników (LSS). Aby uzyskać szczegółowe informacje, zapoznaj się z dokumentacją LSS
Konfigurowanie odbiorników dzienników. Podczas konfigurowania odbiornika dziennika wybierz pozycję JSON jako szablon dziennika.
Pobierz plik konfiguracji zpa.conf wget -v https://aka.ms/sentinel-zscalerprivateaccess-conf -O zpa.conf
Zaloguj się do serwera, na którym zainstalowano agenta usługi Azure Log Analytics.
Skopiuj plik zpa.conf do folderu /etc/opt/microsoft/omsagent/workspace_id/conf/omsagent.d/.
Edytuj plik zpa.conf w następujący sposób:
a. określ port, dla którego ustawiono odbiorniki dzienników usługi Zscaler, aby przekazywać dzienniki do (wiersz 4)
b. Zpa.conf domyślnie używa portu 22033 . Upewnij się, że ten port nie jest używany przez żadne inne źródło na serwerze
c. Jeśli chcesz zmienić port domyślny dla pliku zpa.conf , upewnij się, że nie powinien on powodować konfliktu z domyślnymi portami agenta AMA, np. (Na przykład format CEF używa portu TCP 25226 lub 25224)
d. zastąp workspace_id wartością rzeczywistą identyfikatora obszaru roboczego (wiersze 14,15,16,19)
Zapisz zmiany i uruchom ponownie agenta usługi Azure Log Analytics dla systemu Linux za pomocą następującego polecenia: sudo /opt/microsoft/omsagent/bin/service_control restart
Następne kroki
Aby uzyskać więcej informacji, przejdź do powiązanego rozwiązania w witrynie Azure Marketplace.