Partilhar via


CEF via conector de dados AMA - Configurar dispositivo ou dispositivo específico para ingestão de dados do Microsoft Sentinel

A coleta de logs de muitos dispositivos e dispositivos de segurança é suportada pelo CEF (Common Event Format) por meio do conector de dados AMA no Microsoft Sentinel. Este artigo lista as instruções de instalação fornecidas pelo provedor para dispositivos e dispositivos de segurança específicos que usam esse conector de dados. Entre em contato com o provedor para obter atualizações, mais informações ou onde as informações não estão disponíveis para seu dispositivo ou dispositivo de segurança.

Para ingerir dados para seu espaço de trabalho do Log Analytics para o Microsoft Sentinel, conclua as etapas em Ingest syslog e mensagens CEF para o Microsoft Sentinel com o Azure Monitor Agent. Essas etapas incluem a instalação do Common Event Format (CEF) por meio do conector de dados AMA no Microsoft Sentinel. Depois que o conector for instalado, use as instruções apropriadas para o seu dispositivo, mostradas mais adiante neste artigo, para concluir a configuração.

For more information about the related Microsoft Sentinel solution for each of these appliances or devices, search the Azure Marketplace for the Product Type>Solution Templates or review the solution from the Content hub in Microsoft Sentinel.

Important

O Microsoft Sentinel está geralmente disponível no portal do Microsoft Defender, inclusive para clientes sem o Microsoft Defender XDR ou uma licença E5.

Starting in July 2026, all customers using Microsoft Sentinel in the Azure portal will be redirected to the Defender portal and will use Microsoft Sentinel in the Defender portal only. Starting in July 2025, many new customers are automatically onboarded and redirected to the Defender portal.

Se você ainda estiver usando o Microsoft Sentinel no portal do Azure, recomendamos que comece a planejar sua transição para o portal do Defender para garantir uma transição suave e aproveitar ao máximo a experiência unificada de operações de segurança oferecida pelo Microsoft Defender. Para obter mais informações, consulte É hora de mover: desativando o portal do Azure do Microsoft Sentinel para maior segurança.

Analista de IA Darktrace

Configure o Darktrace para encaminhar mensagens syslog no formato CEF para seu espaço de trabalho do Azure por meio do agente syslog.

  1. Within the Darktrace Threat Visualizer, navigate to the System Config page in the main menu under Admin.
  2. From the left-hand menu, select Modules and choose Microsoft Sentinel from the available Workflow Integrations.
  3. Locate Microsoft Sentinel syslog CEF and select New to reveal the configuration settings, unless already exposed.
  4. In the Server configuration field, enter the location of the log forwarder and optionally modify the communication port. Certifique-se de que a porta selecionada está definida como 514 e é permitida por qualquer firewall intermediário.
  5. Configure quaisquer limites de alerta, compensações de tempo ou outras configurações, conforme necessário.
  6. Revise quaisquer outras opções de configuração que você queira habilitar que alterem a sintaxe do syslog.
  7. Enable Send Alerts and save your changes.

Eventos de Segurança da Akamai

Siga estas etapas para configurar o conector CEF da Akamai para enviar mensagens syslog no formato CEF para a máquina proxy. Certifique-se de enviar os logs para a porta 514 TCP no endereço IP da máquina.

AristaAwakeSecurity

Complete the following steps to forward Awake Adversarial Model match results to a CEF collector listening on TCP port 514 at IP 192.168.0.1:

  1. Navegue até a página Habilidades de gerenciamento de deteção na interface do usuário do Awake.
  2. Selecione + Adicionar nova habilidade.
  3. Set Expression to integrations.cef.tcp { destination: "192.168.0.1", port: 514, secure: false, severity: Warning }
  4. Set Title to a descriptive name like, Forward Awake Adversarial Model match result to Microsoft Sentinel.
  5. Set Reference Identifier to something easily discoverable like, integrations.cef.sentinel-forwarder.
  6. Select Save.

Dentro de alguns minutos após salvar a definição e outros campos, o sistema começa a enviar novos resultados de correspondência de modelo para o coletor de eventos CEF à medida que são detetados.

Para obter mais informações, consulte a página Adicionando uma integração por push de gerenciamento de eventos e informações de segurança na documentação da Ajuda na interface do usuário do Awake.

Aruba ClearPass

Configure o Aruba ClearPass para encaminhar mensagens syslog no formato CEF para seu espaço de trabalho do Microsoft Sentinel por meio do agente syslog.

  1. Siga estas instruções para configurar o Aruba ClearPass para encaminhar o syslog.
  2. Use the IP address or hostname for the Linux device with the Linux agent installed as the Destination IP address.

Barracuda WAF

O Barracuda Web Application Firewall pode integrar e exportar logs diretamente para o Microsoft Sentinel por meio do Azure Monitoring Agent (AMA).

  1. Vá para a configuração do Barracuda WAF e siga as instruções, usando os seguintes parâmetros para configurar a conexão.

  2. Web Firewall logs facility: Go to the advanced settings for your workspace and on the Data>Syslog tabs. Certifique-se de que a facilidade existe.

Observe que os dados de todas as regiões são armazenados no espaço de trabalho selecionado.

Broadcom SymantecDLP

Configure o Symantec DLP para encaminhar mensagens syslog no formato CEF para seu espaço de trabalho do Microsoft Sentinel por meio do agente syslog.

  1. Siga estas instruções para configurar o Symantec DLP para encaminhar o syslog
  2. Use the IP address or hostname for the Linux device with the Linux agent installed as the Destination IP address.

Cisco Firepower EStreamer

Instale e configure o cliente Firepower eNcore eStreamer. For more information, see the full install guide.

CiscoSEG

Conclua as seguintes etapas para configurar o Cisco Secure Email Gateway para encaminhar logs via syslog:

  1. Configure Log Subscription.
  2. Selecione Logs de eventos consolidados no campo Tipo de log.

Citrix Web App Firewall

Configure o Citrix WAF para enviar mensagens syslog no formato CEF para a máquina proxy.

  • Find guides to configure WAF and CEF logs from Citrix Support.

  • Follow this guide to forward the logs to proxy. Certifique-se de enviar os logs para a porta 514 TCP no endereço IP da máquina Linux.

Claroty

Configure o encaminhamento de logs usando o CEF.

  1. Navigate to the Syslog section of the Configuration menu.
  2. Select +Add.
  3. Na caixa de diálogo Adicionar Novo Syslog, especifique IP, Porta, Protocolo do Servidor Remoto.
  4. Select Message Format - CEF.
  5. Choose Save to exit the Add Syslog dialog.

Contrast Protect

Configure o agente Contrast Protect para encaminhar eventos para o syslog conforme descrito aqui: https://docs.contrastsecurity.com/en/output-to-syslog.html. Gere alguns eventos de ataque para seu aplicativo.

CrowdStrike Falcon

Implante o CrowdStrike Falcon SIEM Collector para encaminhar mensagens syslog no formato CEF para seu espaço de trabalho do Microsoft Sentinel por meio do agente syslog.

  1. Siga estas instruções para implantar o Coletor SIEM e encaminhar o syslog.
  2. Use o endereço IP ou nome de host para o dispositivo Linux com o agente Linux instalado como o endereço IP de destino.

Eventos do CyberArk Enterprise Password Vault (EPV)

No EPV, configure o dbparm.ini para enviar mensagens syslog no formato CEF para a máquina proxy. Certifique-se de enviar os logs para a porta 514 TCP no endereço IP das máquinas.

Servidor Secreto Delinea

Configure sua solução de segurança para enviar mensagens syslog no formato CEF para a máquina proxy. Certifique-se de enviar os logs para a porta 514 TCP no endereço IP da máquina.

ExtraHop Reveal(x)

Configure sua solução de segurança para enviar mensagens syslog no formato CEF para a máquina proxy. Certifique-se de enviar os logs para a porta 514 TCP no endereço IP da máquina.

  1. Siga as instruções para instalar o pacote ExtraHop Detection SIEM Connector no seu sistema Reveal(x). The SIEM Connector is required for this integration.
  2. Habilite o gatilho para o ExtraHop Detection SIEM Connector - CEF.
  3. Atualize o gatilho com os destinos syslog ODS que você criou. 

O sistema Reveal(x) formata mensagens syslog em Common Event Format (CEF) e, em seguida, envia dados para o Microsoft Sentinel.

F5 Networks

Configure F5 para encaminhar mensagens syslog no formato CEF para seu espaço de trabalho do Microsoft Sentinel por meio do agente syslog.

Vá para F5 Configurando o log de eventos de segurança do aplicativo, siga as instruções para configurar o log remoto, usando as seguintes diretrizes:

  1. Defina o tipo de armazenamento remoto como CEF.
  2. Set the Protocol setting to UDP.
  3. Set the IP address to the syslog server IP address.
  4. Set the port number to 514, or the port your agent uses.
  5. Set the facility to the one that you configured in the syslog agent. By default, the agent sets this value to local4.
  6. Você pode definir o Tamanho Máximo da Cadeia de Caracteres de Consulta como o mesmo que você configurou.

Segurança de rede FireEye

Conclua as seguintes etapas para enviar dados usando o CEF:

  1. Inicie sessão no dispositivo FireEye com uma conta de administrador.

  2. Select Settings.

  3. Select Notifications. Select rsyslog.

  4. Check the Event type check box.

  5. Certifique-se de que as configurações do Rsyslog são:

    • Default format: CEF
    • Default delivery: Per event
    • Default send as: Alert

Forcepoint CASB

Configure sua solução de segurança para enviar mensagens syslog no formato CEF para a máquina proxy. Certifique-se de enviar os logs para a porta 514 TCP no endereço IP da máquina.

Forcepoint CSG

A integração é disponibilizada com duas opções de implementação:

  1. Usa imagens docker onde o componente de integração já está instalado com todas as dependências necessárias. Follow the instructions provided in the Integration Guide.
  2. Requer a implantação manual do componente de integração dentro de uma máquina Linux limpa. Follow the instructions provided in the Integration Guide.

Forcepoint NGFW

Configure sua solução de segurança para enviar mensagens syslog no formato CEF para a máquina proxy. Certifique-se de enviar os logs para a porta 514 TCP no endereço IP da máquina.

Auditoria comum da ForgeRock para o MIE

No ForgeRock, instale e configure esta auditoria comum (CAUD) para o Microsoft Sentinel de acordo com a documentação em https://github.com/javaservlets/SentinelAuditEventHandler. Em seguida, no Azure, siga as etapas para configurar o CEF por meio do conector de dados AMA.

Fortinet

Configure seu Fortinet para enviar mensagens Syslog no formato CEF para a máquina proxy. Certifique-se de enviar os logs para a porta 514 TCP no endereço IP da máquina.

Copie os comandos da CLI abaixo e:

  • Substitua "server <ip address>" pelo endereço IP do agente Syslog.
  • Defina o "<facility_name>" para usar o recurso que você configurou no agente Syslog (por padrão, o agente define isso como local4).
  • Defina a porta Syslog como 514, a porta que seu agente usa.
  • Para habilitar o formato CEF nas primeiras versões do FortiOS, talvez seja necessário executar o comando "set csv disable".
    Para obter mais informações, vá para a Biblioteca de Documentos Fortinet, escolha sua versão e use os PDFs "Manual" e "Referência de mensagem de log".

Saiba mais >

Configure a conexão usando a CLI para executar os seguintes comandos: config log syslogd setting/n set status enable/nset format cef/nset port 514/nset server <ip_address_of_Receiver>/nend

iboss

Configure seu Console de Ameaças para enviar mensagens syslog no formato CEF para seu espaço de trabalho do Azure. Make note of your Workspace ID and Primary Key within your Log Analytics workspace. Selecione o espaço de trabalho no menu de espaços de trabalho do Log Analytics no portal do Azure. Then select Agents management in the Settings section.

  1. Navegue até Reporting & Analytics dentro do console do iboss.
  2. Select Log Forwarding>Forward From Reporter.
  3. Select Actions>Add Service.
  4. Toggle to Microsoft Sentinel as a Service Type and input your Workspace ID/Primary Key along with other criteria. If a dedicated proxy Linux machine was configured, toggle to Syslog as a Service Type and configure the settings to point to your dedicated proxy Linux machine.
  5. Aguarde um a dois minutos até que a configuração seja concluída.
  6. Selecione o serviço Microsoft Sentinel e verifique se o status da instalação do Microsoft Sentinel foi bem-sucedido. Se uma máquina Linux proxy dedicada estiver configurada, você poderá validar sua conexão.

Illumio Core

Configure o formato do evento.

  1. No menu do console da Web do PCE, escolha Configurações > do evento Configurações para exibir suas configurações atuais.
  2. Select Edit to change the settings.
  3. Set Event Format to CEF.
  4. (Optional) Configure Event Severity and Retention Period.

Configure o encaminhamento de eventos para um servidor syslog externo.

  1. From the PCE web console menu, choose Settings>Event Settings.
  2. Select Add.
  3. Select Add Repository.
  4. Complete the Add Repository dialog.
  5. Select OK to save the event forwarding configuration.

Illusive Platform

  1. Configure sua solução de segurança para enviar mensagens syslog no formato CEF para a máquina proxy. Certifique-se de enviar os logs para a porta 514 TCP no endereço IP da máquina.

  2. Sign into the Illusive Console, and navigate to Settings>Reporting.

  3. Find Syslog Servers.

  4. Insira as seguintes informações:

    • Nome do host: Endereço IP do agente Linux Syslog ou nome do host FQDN
    • Port: 514
    • Protocol: TCP
    • Mensagens de auditoria: Enviar mensagens de auditoria para o servidor
  5. To add the syslog server, select Add.

Para obter mais informações sobre como adicionar um novo servidor syslog na plataforma Illusive, encontre o Guia de Administração da Illusive Networks aqui: https://support.illusivenetworks.com/hc/en-us/sections/360002292119-Documentation-by-Version

Imperva WAF Gateway

This connector requires an Action Interface and Action Set to be created on the Imperva SecureSphere MX. Siga as etapas para criar os requisitos.

  1. Create a new Action Interface that contains the required parameters to send WAF alerts to Microsoft Sentinel.
  2. Create a new Action Set that uses the Action Interface configured.
  3. Aplique o Conjunto de Ações a todas as políticas de segurança para as quais deseja que os alertas sejam enviados ao Microsoft Sentinel.

Infoblox Conector de dados na nuvem

Conclua as etapas a seguir para configurar o Infoblox CDC para enviar dados do BloxOne para o Microsoft Sentinel por meio do agente syslog do Linux.

  1. Navigate to Manage>Data Connector.
  2. Select the Destination Configuration tab at the top.
  3. Selecione Criar > Syslog.
    • Name: Give the new Destination a meaningful name, such as Microsoft-Sentinel-Destination.
    • Description: Optionally give it a meaningful description.
    • State: Set the state to Enabled.
    • Format: Set the format to CEF.
    • FQDN/IP: Enter the IP address of the Linux device on which the Linux agent is installed.
    • Port: Leave the port number at 514.
    • Protocol: Select desired protocol and CA certificate if applicable.
    • Selecione Salvar & Fechar.
  4. Selecione a guia Configuração do fluxo de tráfego na parte superior.
  5. Select Create.
    • Name: Give the new Traffic Flow a meaningful name, such as Microsoft-Sentinel-Flow.
    • Description: Optionally give it a meaningful description.
    • State: Set the state to Enabled.
    • Expand the Service Instance section.
      • Service Instance: Select your desired Service Instance for which the Data Connector service is enabled.
    • Expand the Source Configuration section.
      • Source: Select BloxOne Cloud Source.
      • Select all desired log types you wish to collect. Os tipos de log atualmente suportados são:
        • Registo de Consultas/Respostas de Defesa contra Ameaças
        • Threat Defense Threat Feeds Hits Log
        • Registo de Consultas/Respostas DDI
        • Registo de Concessões DHI DHCP
    • Expand the Destination Configuration section.
      • Select the Destination you created.
    • Selecione Salvar & Fechar.
  6. Permita que a configuração tenha algum tempo para ativar.

Infoblox SOC Insights

Conclua as etapas a seguir para configurar o Infoblox CDC para enviar dados do BloxOne para o Microsoft Sentinel por meio do agente syslog do Linux.

  1. Navegue até Gerenciar > conector de dados.
  2. Select the Destination Configuration tab at the top.
  3. Selecione Criar > Syslog.
    • Name: Give the new Destination a meaningful name, such as Microsoft-Sentinel-Destination.
    • Description: Optionally give it a meaningful description.
    • State: Set the state to Enabled.
    • Format: Set the format to CEF.
    • FQDN/IP: Enter the IP address of the Linux device on which the Linux agent is installed.
    • Port: Leave the port number at 514.
    • Protocol: Select desired protocol and CA certificate if applicable.
    • Selecione Salvar & Fechar.
  4. Selecione a guia Configuração do fluxo de tráfego na parte superior.
  5. Select Create.
    • Name: Give the new Traffic Flow a meaningful name, such as Microsoft-Sentinel-Flow.
    • Description: Optionally give it a meaningful description.
    • State: Set the state to Enabled.
    • Expand the Service Instance section.
      • Service Instance: Select your desired service instance for which the data connector service is enabled.
    • Expand the Source Configuration section.
      • Source: Select BloxOne Cloud Source.
      • Select the Internal Notifications Log Type.
    • Expand the Destination Configuration section.
      • Select the Destination you created.
    • Selecione Salvar & Fechar.
  6. Permita que a configuração tenha algum tempo para ativar.

KasperskySecurityCenter

Siga as instruções para configurar a exportação de eventos a partir do Kaspersky Security Center.

Morphisec

Configure sua solução de segurança para enviar mensagens syslog no formato CEF para a máquina proxy. Certifique-se de enviar os logs para a porta 514 TCP no endereço IP da máquina.

Netwrix Auditor

Siga as instruções para configurar a exportação de eventos do Netwrix Auditor.

NozomiNetworks

Conclua as seguintes etapas para configurar o dispositivo Nozomi Networks para enviar alertas, auditoria e logs de integridade via syslog no formato CEF:

  1. Inicie sessão na consola do Guardian.
  2. Navigate to Administration>Data Integration.
  3. Select +Add.
  4. Selecione o Formato Comum de Evento (CEF) na lista suspensa.
  5. Create New Endpoint using the appropriate host information.
  6. Enable Alerts, Audit Logs, and Health Logs for sending.

Onapsis Platform

Consulte a ajuda do produto Onapsis para configurar o encaminhamento de log para o agente syslog.

  1. Go to Setup>Third-party integrations>Defend Alarms and follow the instructions for Microsoft Sentinel.

  2. Verifique se o console do Onapsis pode acessar a máquina proxy onde o agente está instalado. Os logs devem ser enviados para a porta 514 usando TCP.

OSSEC

Siga estas etapas para configurar o envio de alertas OSSEC via syslog.

Palo Alto - XDR (Córtex)

Configure Palo Alto XDR (Cortex) para encaminhar mensagens no formato CEF para seu espaço de trabalho do Microsoft Sentinel por meio do agente syslog.

  1. Vá para Configurações e configurações do Cortex.
  2. Select to add New Server under External Applications.
  3. Then specify the name and give the public IP of your syslog server in Destination.
  4. Give Port number as 514.
  5. From Facility field, select FAC_SYSLOG from dropdown.
  6. Select Protocol as UDP.
  7. Select Create.

PaloAlto-PAN-OS

Configure a Palo Alto Networks para encaminhar mensagens syslog no formato CEF para seu espaço de trabalho do Microsoft Sentinel por meio do agente syslog.

  1. Vá para configurar Palo Alto Networks NGFW para enviar eventos CEF.

  2. Vá para Palo Alto CEF Configuration e Palo Alto Configure Syslog Monitoring steps 2, 3, escolha sua versão e siga as instruções usando as seguintes diretrizes:

    1. Defina o formato do servidor Syslog como BSD.
    2. Copie o texto para um editor e remova todos os caracteres que possam quebrar o formato de log antes de colá-lo. As operações de copiar/colar do PDF podem alterar o texto e inserir caracteres aleatórios.

Learn more

PaloAltoCDL

Siga as instruções para configurar o encaminhamento de logs do Cortex Data Lake para um servidor syslog.

PingFederate

Siga estas etapas para configurar o log de auditoria de envio do PingFederate via syslog no formato CEF.

RidgeSecurity

Configure the RidgeBot to forward events to syslog server as described here. Gere alguns eventos de ataque para seu aplicativo.

SonicWall Firewall

Configure o Firewall da SonicWall para enviar mensagens syslog no formato CEF para a máquina proxy. Certifique-se de enviar os logs para a porta 514 TCP no endereço IP da máquina.

Follow instructions. Em seguida, certifique-se de selecionar o uso local 4 como o recurso. Em seguida, selecione ArcSight como o formato syslog.

Trend Micro Apex Um

Siga estas etapas para configurar o envio de alertas do Apex Central via syslog. While configuring, on step 6, select the log format CEF.

Segurança profunda da Trend Micro

Configure sua solução de segurança para enviar mensagens syslog no formato CEF para a máquina proxy. Certifique-se de enviar os logs para a porta 514 TCP no endereço IP da máquina.

  1. Encaminhe eventos do Trend Micro Deep Security para o agente syslog.
  2. Defina uma nova configuração syslog que use o formato CEF fazendo referência a este artigo de conhecimento para obter informações adicionais.
  3. Configure o Deep Security Manager para usar essa nova configuração para encaminhar eventos para o agente syslog usando estas instruções.
  4. Make sure to save the TrendMicroDeepSecurity function so that it queries the Trend Micro Deep Security data properly.

TippingPoint da Trend Micro

Configure seu SMS TippingPoint para enviar mensagens syslog no formato ArcSight CEF Format v4.2 para a máquina proxy. Certifique-se de enviar os logs para a porta 514 TCP no endereço IP da máquina.

Controlador de Aplicação vArmour

Envie mensagens syslog no formato CEF para a máquina proxy. Certifique-se de enviar os logs para a porta 514 TCP no endereço IP da máquina.

Transfira o guia do utilizador a partir de https://support.varmour.com/hc/en-us/articles/360057444831-vArmour-Application-Controller-6-0-User-Guide. No guia do usuário, consulte "Configurando o Syslog para monitoramento e violações" e siga as etapas 1 a 3.

Vectra AI Detetar

Configure o Agente Vectra (Série X) para encaminhar mensagens syslog no formato CEF para seu espaço de trabalho Microsoft Sentinel por meio do agente syslog.

Na interface do usuário do Vectra, navegue até Notificações de configurações > e Editar configuração do syslog. Siga as instruções abaixo para configurar a conexão:

  1. Adicione um novo Destino (que é o host onde o agente syslog do Microsoft Sentinel está sendo executado).
  2. Set the Port as 514.
  3. Set the Protocol as UDP.
  4. Set the format to CEF.
  5. Set Log types. Selecione todos os tipos de log disponíveis.
  6. Select on Save.
  7. Select the Test button to send some test events.

Para obter mais informações, consulte o Cognito Detect Syslog Guide, que pode ser baixado da página de recursos em Detect UI.

Votiro

Defina Votiro Endpoints para enviar mensagens syslog no formato CEF para a máquina Forwarder. Certifique-se de enviar os logs para a porta TCP 514 no endereço IP da máquina Encaminhadora.

Plataforma Forense de Rede WireX

Entre em contato com o suporte da WireX (https://wirexsystems.com/contact-us/) para configurar sua solução NFP para enviar mensagens syslog no formato CEF para a máquina proxy. Certifique-se de que o gerente central pode enviar os logs para a porta 514 TCP no endereço IP da máquina.

WithSecure Elements via conector

Conecte seu dispositivo WithSecure Elements Connector ao Microsoft Sentinel. O conector de dados do WithSecure Elements Connector permite que você conecte facilmente seus logs do WithSecure Elements ao Microsoft Sentinel, para exibir painéis, criar alertas personalizados e melhorar a investigação.

Note

Os dados são armazenados na localização geográfica do espaço de trabalho no qual você está executando o Microsoft Sentinel.

Configure com o Secure Elements Connector para encaminhar mensagens syslog no formato CEF para seu espaço de trabalho do Log Analytics por meio do agente syslog.

  1. Selecione ou crie uma máquina Linux para o Microsoft Sentinel usar como proxy entre sua solução WithSecurity e o Microsoft Sentinel. A máquina pode ser um ambiente local, Microsoft Azure ou outro ambiente baseado em nuvem. Linux precisa ter syslog-ng e python/python3 instalado.
  2. Instale o Agente de Monitoramento do Azure (AMA) em sua máquina Linux e configure a máquina para ouvir a porta necessária e encaminhar mensagens para seu espaço de trabalho do Microsoft Sentinel. O coletor CEF coleta mensagens CEF na porta TCP 514. Você deve ter permissões elevadas (sudo) em sua máquina.
  3. Go to EPP in WithSecure Elements Portal. Then navigate to Downloads. In Elements Connector section, select Create subscription key. You can check your subscription key in Subscriptions.
  4. In Downloads in WithSecure Elements Connector section, select the correct installer and download it.
  5. Quando estiver no PPE, abra as configurações da conta no canto superior direito. Em seguida, selecione Obter chave da API de gerenciamento. Se a chave foi criada anteriormente, ela também pode ser lida lá.
  6. Para instalar o Elements Connector, siga o Elements Connector Docs.
  7. Se o acesso à API não estiver configurado durante a instalação, siga Configurando o acesso à API para o Elements Connector.
  8. Go to EPP, then Profiles, then use For Connector from where you can see the connector profiles. Crie um novo perfil (ou edite um perfil existente não somente leitura). In Event forwarding, enable it. Set SIEM system address: 127.0.0.1:514. Defina o formato como Common Event Format. Protocol is TCP. Save profile and assign it to Elements Connector in Devices tab.
  9. To use the relevant schema in Log Analytics for the WithSecure Elements Connector, search for CommonSecurityLog.
  10. Continue com a validação da conectividade CEF.

Zscaler

Configure o produto Zscaler para enviar mensagens syslog em formato CEF para o seu agente syslog. Certifique-se de enviar os logs na porta TCP 514.

Para obter mais informações, consulte o guia de integração do Zscaler Microsoft Sentinel.