[Obsoleto] Conector de acesso privado Zscaler para Microsoft Sentinel
Importante
A coleta de logs de vários aparelhos e dispositivos agora tem suporte no Formato Comum de Evento (CEF) via AMA, Syslog via AMA, ou Logs Personalizados via conector de dados AMA no Microsoft Sentinel. Para obter mais informações, consulte Encontrar seu conector de dados do Microsoft Sentinel.
O conector de dados Zscaler Private Access (ZPA) fornece a capacidade de ingestão de eventos do Zscaler Private Access no Microsoft Sentinel. Para obter mais informações, confira a documentação do Zscaler Private Access.
Este é um conteúdo gerado automaticamente. Para alterações, entre em contato com o provedor da solução.
Atributos do conector
| Atributo do conector | Description |
|---|---|
| Alias de função do Kusto | ZPAEvent |
| URL da função do Kusto | https://aka.ms/sentinel-ZscalerPrivateAccess-parser |
| Tabela(s) do Log Analytics | ZPA_CL |
| Suporte às regras de coleta de dados | Sem suporte no momento |
| Com suporte por | Microsoft Corporation |
Exemplos de consulta
Todos os logs
ZPAEvent
| sort by TimeGenerated
Instruções de instalação do fornecedor
Observação
Esse conector de dados depende de um analisador baseado em uma função Kusto para funcionar conforme o esperado. Siga estas etapas para criar o alias da função Kusto, ZPAEvent
Observação
Esse conector de dados foi desenvolvido usando a versão do Zscaler Private Access: 21.67.1
- Instalar e integrar o agente para Linux ou Windows
Instale o agente no servidor em que os logs do Zscaler Private Access são encaminhados.
Os logs do Servidor Zscaler Private Access implantados em servidores Linux ou Windows são coletados por agentes do Linux ou Windows.
- Configurar os logs a serem coletados
Siga as etapas de configuração abaixo para obter logs do Zscaler Private Access no Microsoft Sentinel. Confira a Documentação do Azure Monitor para encontrar mais detalhes sobre essas etapas. Os logs do Zscaler Private Access são fornecidos por meio do LSS (Serviço de streaming de log). Confira a documentação do LSS para obter informações detalhadas
Configurar Recebedores de log. Enquanto o Recebedor de log é recebido, escolha JSON como Modelo de log.
Baixar o arquivo de configuração zpa.conf wget -v https://aka.ms/sentinel-zscalerprivateaccess-conf -O zpa.conf
Faça logon no servidor no qual você instalou o agente do Azure Log Analytics.
Copie zpa.conf na pasta /etc/opt/microsoft/omsagent/workspace_id/conf/omsagent.d/.
Edite o zpa.conf da seguinte maneira:
a. especifique a porta para a qual você definiu que os Recebedores de log do Zscaler devem encaminhar os logs (linha 4)
b. zpa.conf usa a porta 22033 como padrão. Certifique-se de que essa porta não esteja sendo usada por nenhuma outra origem no seu servidor
c. Se você deseja alterar a porta padrão para zpa.conf, certifique-se de que ela não entre em conflito com as portas padrão do agente AMA, (por exemplo, o CEF usa a porta TCP 25226 ou 25224)
d. substitua workspace_id pelo valor real da sua ID do espaço de trabalho (linhas 14,15,16,19)
Salve as alterações e reinicie o agente do Azure Log Analytics para o serviço Linux com o seguinte comando: sudo /opt/microsoft/omsagent/bin/service_control restart
Próximas etapas
Para obter mais informações, acesse a solução relacionada no Azure Marketplace.