Syslog via conector de dados AMA - Configure um dispositivo ou dispositivo específico para a ingestão de dados do Microsoft Sentinel

A coleta de logs de muitos dispositivos e dispositivos de segurança é suportada pelo Syslog via conector de dados AMA no Microsoft Sentinel. Este artigo lista as instruções de instalação fornecidas pelo provedor para dispositivos e dispositivos de segurança específicos que usam esse conector de dados. Entre em contato com o provedor para obter atualizações, mais informações ou onde as informações não estão disponíveis para seu dispositivo ou dispositivo de segurança.

Para encaminhar dados para seu espaço de trabalho do Log Analytics para o Microsoft Sentinel, conclua as etapas em Ingest syslog e mensagens CEF para o Microsoft Sentinel com o Azure Monitor Agent. Ao concluir essas etapas, instale o Syslog via conector de dados AMA no Microsoft Sentinel. Em seguida, use as instruções do provedor apropriado neste artigo para concluir a configuração.

Para obter mais informações sobre a solução Microsoft Sentinel relacionada para cada um desses dispositivos ou dispositivos, pesquise no Azure Marketplace os Modelos de Solução de Tipo>de Produto ou examine a solução do hub de conteúdo no Microsoft Sentinel.

Barracuda CloudGen Firewall

Siga as instruções para configurar o streaming syslog. Use o endereço IP ou o nome do host para a máquina Linux com o agente Microsoft Sentinel instalado para o endereço IP de destino.

Blackberry CylancePROTECT

Siga estas instruções para configurar o CylancePROTECT para encaminhar o syslog. Use o endereço IP ou nome de host para o dispositivo Linux com o agente Linux instalado como o endereço IP de destino.

Infraestrutura Cisco Application Centric (ACI)

Configure o sistema Cisco ACI para enviar logs via syslog para o servidor remoto onde você instala o agente. Siga estas etapas para configurar o Syslog Destination, o Destination Group e o Syslog Source.

Este conector de dados foi desenvolvido usando Cisco ACI Release 1.x.

Mecanismo de serviços de identidade Cisco (ISE)

Siga estas instruções para configurar locais remotos de coleta de syslog em sua implantação Cisco ISE.

Cisco Stealthwatch

Conclua as etapas de configuração a seguir para obter logs do Cisco Stealthwatch no Microsoft Sentinel.

1. Entre no Stealthwatch Management Console (SMC) como administrador.

2. Na barra de menus, selecione Configuration>Response Management.

3. Na seção Ações no menu Gerenciamento de respostas, selecione Adicionar > mensagem Syslog.

4. Na janela Add Syslog Message Action, configure parâmetros.

5. Insira o seguinte formato personalizado:

   |Lancope|Stealthwatch|7.3|{alarm_type_id}|0x7C|src={source_ip}|dst={target_ip}|dstPort={port}|proto={protocol}|msg={alarm_type_description}|fullmessage={details}|start={start_active_time}|end={end_active_time}|cat={alarm_category_name}|alarmID={alarm_id}|sourceHG={source_host_group_names}|targetHG={target_host_group_names}|sourceHostSnapshot={source_url}|targetHostSnapshot={target_url}|flowCollectorName={device_name}|flowCollectorIP={device_ip}|domain={domain_name}|exporterName={exporter_hostname}|exporterIPAddress={exporter_ip}|exporterInfo={exporter_label}|targetUser={target_username}|targetHostname={target_hostname}|sourceUser={source_username}|alarmStatus={alarm_status}|alarmSev={alarm_severity_name}

6. Selecione o formato personalizado na lista e OK.

7. Selecione Regras de gerenciamento de > respostas.

8. Selecione Adicionar e Host Alarm.

9. Forneça um nome de regra no campo Nome .

10. Crie regras selecionando valores nos menus Tipo e Opções . Para adicionar mais regras, selecione o ícone de reticências. Para um Host Alarm, combine o maior número possível de tipos em uma instrução.

Este conector de dados foi desenvolvido usando Cisco Stealthwatch versão 7.3.2

Sistemas de computação unificada Cisco (UCS)

Siga estas instruções para configurar o Cisco UCS para encaminhar o syslog. Use o endereço IP ou nome de host para o dispositivo Linux com o agente Linux instalado como o endereço IP de destino.

Nota

A funcionalidade deste conector de dados depende de um analisador baseado em função Kusto, que é parte integrante do seu funcionamento. Esse analisador é implantado como parte da instalação da solução.

Atualize o analisador e especifique o nome do host das máquinas de origem que transmitem os logs na segunda linha do analisador.

Para acessar o código da função no Log Analytics, navegue até a seção Log Analytics/Microsoft Sentinel Logs, selecione Funções e procure o alias CiscoUCS. Como alternativa, carregue diretamente o código da função. A atualização pode levar cerca de 15 minutos após a instalação.

Cisco Web Security Appliance (WSA)

Configure a Cisco para encaminhar logs via syslog para o servidor remoto onde você instala o agente. Siga estas etapas para configurar o Cisco WSA para encaminhar logs via Syslog

Selecione Syslog Push como um método de recuperação.

Este conector de dados foi desenvolvido usando AsyncOS 14.0 para Cisco Web Security Appliance

Controlador de entrega de aplicativos (ADC) Citrix

Configure o Citrix ADC (antigo NetScaler) para encaminhar logs via Syslog.

1. Navegue até a guia > Configuração Guia Servidores Syslog > > de Auditoria do Sistema >
2. Especifique o nome da ação Syslog.
3. Defina o endereço IP do servidor Syslog remoto e da porta.
4. Defina o tipo de transporte como TCP ou UDP, dependendo da configuração do servidor syslog remoto.
5. Para obter mais informações, consulte a documentação do Citrix ADC (antigo NetScaler).

Nota

A funcionalidade deste conector de dados depende de um analisador baseado em função Kusto, que é parte integrante do seu funcionamento. Esse analisador é implantado como parte da instalação da solução. Para acessar o código da função no Log Analytics, navegue até a seção Log Analytics/Microsoft Sentinel Logs, selecione Funções e procure o alias CitrixADCEvent. Como alternativa, você pode carregar diretamente o código da função. A atualização pode levar cerca de 15 minutos após a instalação.

Este analisador requer uma lista de observação chamada Sources_by_SourceType.

i. Se você ainda não tiver uma lista de observação criada, crie uma lista de observação do Microsoft Sentinel no portal do Azure.

ii. Abra a lista Sources_by_SourceType de observação e adicione entradas para esta fonte de dados.

ii. O valor SourceType para CitrixADC é CitrixADC. Para obter mais informações, consulte Gerenciar analisadores ASIM (Advanced Security Information Model).

Prevenção de perda de dados do Digital Guardian

Conclua as seguintes etapas para configurar o Digital Guardian para encaminhar logs via Syslog:

1. Inicie sessão na Consola de Gestão do Digital Guardian.
2. Selecione Exportação de dados>do espaço de trabalho>Criar exportação.
3. Na lista Fontes de Dados, selecione Alertas ou Eventos como a fonte de dados.
4. Na lista Tipo de exportação , selecione Syslog.
5. Na lista Tipo, selecione UDP ou TCP como protocolo de transporte.
6. No campo Servidor, digite o endereço IP do servidor syslog remoto.
7. No campo Porta, digite 514 (ou outra porta se o servidor syslog tiver sido configurado para usar uma porta não padrão).
8. Na lista Nível de gravidade, selecione um nível de gravidade.
9. Marque a caixa de seleção Está ativo .
10. Selecione Seguinte.
11. Na lista de campos disponíveis, adicione campos de Alerta ou Evento para sua exportação de dados.
12. Selecione um Critério para os campos em sua exportação de dados e Avançar.
13. Selecione um grupo para os critérios e Avançar.
14. Selecione Testar consulta.
15. Selecione Seguinte.
16. Salve a exportação de dados.

Integração com o ESET Protect

Configure o ESET PROTECT para enviar todos os eventos através do Syslog.

1. Siga estas instruções para configurar a saída syslog. Certifique-se de selecionar BSD como o formato e TCP como o transporte.
2. Siga estas instruções para exportar todos os logs para o syslog. Selecione JSON como o formato de saída.

Análise avançada do Exabeam

Siga estas instruções para enviar dados de registro de atividades do Exabeam Advanced Analytics via syslog.

Este conector de dados foi desenvolvido usando Exabeam Advanced Analytics i54 (Syslog)

Forescout

Conclua as etapas a seguir para obter logs do Forescout no Microsoft Sentinel.

1. Selecione um dispositivo para configurar.
2. Siga estas instruções para encaminhar alertas da plataforma Forescout para um servidor syslog.
3. Configure as configurações na guia Syslog Triggers .

Este conector de dados foi desenvolvido usando Forescout Syslog Plugin versão: v3.6

Gitlab

Siga estas instruções para enviar dados de log de auditoria do Gitlab via syslog.

Ligação ISC

1. Siga estas instruções para configurar o ISC Bind para encaminhar syslog: DNS Logs.
2. Configure syslog para enviar o tráfego syslog para o agente. Use o endereço IP ou nome de host para o dispositivo Linux com o agente Linux instalado como o endereço IP de destino.

Sistema operacional de identidade de rede Infoblox (NIOS)

Siga estas instruções para ativar o encaminhamento syslog de Infoblox NIOS Logs. Use o endereço IP ou nome de host para o dispositivo Linux com o agente Linux instalado como o endereço IP de destino.

Nota

A funcionalidade deste conector de dados depende de um analisador baseado em função Kusto, que é parte integrante do seu funcionamento. Esse analisador é implantado como parte da instalação da solução.

Para acessar o código de função no Log Analytics, navegue até a seção Log Analytics/Microsoft Sentinel Logs, selecione Funções e procure o alias Infoblox. Como alternativa, você pode carregar diretamente o código da função. A atualização pode levar cerca de 15 minutos após a instalação.

Este analisador requer uma lista de observação chamada Sources_by_SourceType.

i. Se você ainda não tiver uma lista de observação criada, crie uma lista de observação do Microsoft Sentinel no portal do Azure.

ii. Abra a lista Sources_by_SourceType de observação e adicione entradas para esta fonte de dados.

ii. O valor SourceType para InfobloxNIOS é InfobloxNIOS.

Para obter mais informações, consulte Gerenciar analisadores ASIM (Advanced Security Information Model).

Ivanti Gestão Unificada de Pontos Finais

Siga as instruções para configurar as Ações de Alerta para enviar logs para o servidor syslog.

Este conector de dados foi desenvolvido usando o Ivanti Unified Endpoint Management Release 2021.1 Versão 11.0.3.374

Juniper SRX

1. Conclua as instruções a seguir para configurar o Juniper SRX para encaminhar o syslog:

   • Logs de tráfego (logs de política de segurança)
   • Logs do sistema

2. Use o endereço IP ou nome de host para o dispositivo Linux com o agente Linux instalado como o endereço IP de destino.

Plataforma McAfee Network Security

Conclua as etapas de configuração a seguir para obter os logs da McAfee® Network Security Platform no Microsoft Sentinel.

1. Encaminhe alertas do gerente para um servidor syslog.

2. Você deve adicionar um perfil de notificação syslog. Ao criar o perfil, para se certificar de que os eventos estão formatados corretamente, digite o seguinte texto na caixa de texto Mensagem:

   <SyslogAlertForwarderNSP>:|SENSOR_ALERT_UUID|ALERT_TYPE|ATTACK_TIME|ATTACK_NAME|ATTACK_ID |ATTACK_SEVERITY|ATTACK_SIGNATURE|ATTACK_CONFIDENCE|ADMIN_DOMAIN|SENSOR_NAME|INTERFACE |SOURCE_IP|SOURCE_PORT|DESTINATION_IP|DESTINATION_PORT|CATEGORY|SUB_CATEGORY |DIRECTION|RESULT_STATUS|DETECTION_MECHANISM|APPLICATION_PROTOCOL|NETWORK_PROTOCOL|

Este conector de dados foi desenvolvido utilizando a versão 10.1.x da McAfee® Network Security Platform.

McAfee ePolicy Orchestrator

Entre em contato com o provedor para obter orientação sobre como registrar um servidor syslog.

Microsoft Sysmon para Linux

Este conector de dados depende de analisadores ASIM baseados em funções Kusto para funcionar conforme o esperado. Implante os analisadores.

As seguintes funções são implantadas:

• vimFileEventLinuxSysmonFileCreated, vimFileEventLinuxSysmonFileDeleted
• vimProcessCreateLinuxSysmon, vimProcessTerminateLinuxSysmon
• vimNetworkSessionLinuxSysmon

Saiba mais

Nasuni

Siga as instruções no Guia do Console de Gerenciamento Nasuni para configurar o Nasuni Edge Appliances para encaminhar eventos syslog. Use o endereço IP ou o nome do host do dispositivo Linux que executa o Agente do Monitor do Azure no campo de configuração Servidores para as configurações do syslog.

OpenVPN

Instale o agente no servidor para onde o OpenVPN é encaminhado. Os logs do servidor OpenVPN são gravados no arquivo syslog comum (dependendo da distribuição Linux usada: por exemplo, /var/log/messages).

Auditoria de banco de dados Oracle

Siga os seguintes passos.

1. Criar o banco de dados Oracle Siga estas etapas.
2. Faça login no banco de dados Oracle que você criou. Siga estes passos.
3. Habilitar o log unificado no syslog alterando o sistema para habilitar o log unificado Seguindo estas etapas.
4. Criar e habilitar uma política de auditoria para auditoria unificada Siga estas etapas.
5. Habilitando capturas syslog e Event Viewer para a trilha de auditoria unificada Siga estas etapas.

Pulse Connect Secure

Siga as instruções para ativar o streaming syslog dos logs do Pulse Connect Secure. Use o endereço IP ou nome de host para o dispositivo Linux com o agente Linux instalado como o endereço IP de destino.

Nota

A funcionalidade deste conector de dados depende de um analisador baseado em função Kusto, que é parte integrante do seu funcionamento. Esse analisador é implantado como parte da instalação da solução.

Atualize o analisador e especifique o nome do host das máquinas de origem que transmitem os logs na segunda linha do analisador.

Para acessar o código de função no Log Analytics, navegue até a seção Log Analytics/Microsoft Sentinel Logs, selecione Funções e procure o alias PulseConnectSecure. Como alternativa, carregue diretamente o código da função. A atualização pode levar cerca de 15 minutos após a instalação.

RSA SecurID

Conclua as etapas a seguir para obter os logs do RSA® SecurID Authentication Manager no Microsoft Sentinel. Siga estas instruções para encaminhar alertas do Manager para um servidor syslog.

Nota

A funcionalidade deste conector de dados depende de um analisador baseado em função Kusto, que é parte integrante do seu funcionamento. Esse analisador é implantado como parte da instalação da solução.

Atualize o analisador e especifique o nome do host das máquinas de origem que transmitem os logs na segunda linha do analisador.

Para acessar o código de função no Log Analytics, navegue até a seção Log Analytics/Microsoft Sentinel Logs, selecione Funções e procure o alias RSASecurIDAMEvent. Como alternativa, você pode carregar diretamente o código da função. A atualização pode levar cerca de 15 minutos após a instalação.

Este conector de dados foi desenvolvido utilizando a versão 8.4 e 8.5 do RSA SecurID Authentication Manager:

Sophos XG Firewall

Siga estas instruções para ativar o streaming syslog. Use o endereço IP ou nome de host para o dispositivo Linux com o agente Linux instalado como o endereço IP de destino.

Nota

A funcionalidade deste conector de dados depende de um analisador baseado em função Kusto, que é parte integrante do seu funcionamento. Esse analisador é implantado como parte da instalação da solução.

Atualize o analisador e especifique o nome do host das máquinas de origem que transmitem os logs na segunda linha do analisador. Para acessar o código da função no Log Analytics, navegue até a seção Log Analytics/Microsoft Sentinel Logs, selecione Funções e procure o alias SophosXGFirewall. Como alternativa, carregue diretamente o código da função. A atualização pode levar cerca de 15 minutos após a instalação.

Proteção de ponto final da Symantec

Siga estas instruções para configurar o Symantec Endpoint Protection para encaminhar o syslog. Use o endereço IP ou nome de host para o dispositivo Linux com o agente Linux instalado como o endereço IP de destino.

Nota

A funcionalidade deste conector de dados depende de um analisador baseado em função Kusto, que é parte integrante do seu funcionamento. Esse analisador é implantado como parte da instalação da solução.

Atualize o analisador e especifique o nome do host das máquinas de origem que transmitem os logs na segunda linha do analisador. Para acessar o código de função no Log Analytics, navegue até a seção Log Analytics/Microsoft Sentinel Logs, selecione Funções e procure o alias SymantecEndpointProtection. Como alternativa, você pode carregar diretamente o código da função. A atualização pode levar cerca de 15 minutos após a instalação.

Symantec ProxySG

1. Inicie sessão na consola de gestão Blue Coat.

2. Selecione Configuração>de Formatos de Log de Acesso.>

3. Selecione Novo.

4. Insira um nome exclusivo no campo Nome do formato .

5. Selecione o botão de opção para Cadeia de caracteres de formato personalizado e cole a seguinte cadeia de caracteres no campo.

   1 $(date) $(time) $(time-taken) $(c-ip) $(cs-userdn) $(cs-auth-groups) $(x-exception-id) $(sc-filter-result) $(cs-categories) $(quot)$(cs(Referer))$(quot) $(sc-status) $(s-action) $(cs-method) $(quot)$(rs(Content-Type))$(quot) $(cs-uri-scheme) $(cs-host) $(cs-uri-port) $(cs-uri-path) $(cs-uri-query) $(cs-uri-extension) $(quot)$(cs(User-Agent))$(quot) $(s-ip) $(sr-bytes) $(rs-bytes) $(x-virus-id) $(x-bluecoat-application-name) $(x-bluecoat-application-operation) $(cs-uri-port) $(x-cs-client-ip-country) $(cs-threat-risk)

6. Selecione OK.

7. Selecione Aplicarn.

8. Siga estas instruções para habilitar o streaming syslog de logs do Access . Use o endereço IP ou nome de host para o dispositivo Linux com o agente Linux instalado como o endereço IP de destino

Nota

A funcionalidade deste conector de dados depende de um analisador baseado em função Kusto, que é parte integrante do seu funcionamento. Esse analisador é implantado como parte da instalação da solução.

Atualize o analisador e especifique o nome do host das máquinas de origem que transmitem os logs na segunda linha do analisador.

Para acessar o código da função no Log Analytics, navegue até a seção Log Analytics/Microsoft Sentinel Logs, selecione Funções e procure o alias SymantecProxySG. Como alternativa, carregue diretamente o código da função. A atualização pode levar cerca de 15 minutos após a instalação.

Symantec VIP

Siga estas instruções para configurar o Symantec VIP Enterprise Gateway para encaminhar o syslog. Use o endereço IP ou nome de host para o dispositivo Linux com o agente Linux instalado como o endereço IP de destino.

Nota

A funcionalidade deste conector de dados depende de um analisador baseado em função Kusto, que é parte integrante do seu funcionamento. Esse analisador é implantado como parte da instalação da solução.

Atualize o analisador e especifique o nome do host das máquinas de origem que transmitem os logs na segunda linha do analisador.

Para acessar o código da função no Log Analytics, navegue até a seção Log Analytics/Microsoft Sentinel Logs, selecione Funções e procure o alias SymantecVIP. Como alternativa, carregue diretamente o código da função. A atualização pode levar cerca de 15 minutos após a instalação.

VMware ESXi

1. Siga estas instruções para configurar o VMware ESXi para encaminhar o syslog:

   • VMware ESXi 3.5 e 4.x
   • VMware ESXi 5.0+

2. Use o endereço IP ou nome de host para o dispositivo Linux com o agente Linux instalado como o endereço IP de destino.

Nota

A funcionalidade deste conector de dados depende de um analisador baseado em função Kusto, que é parte integrante do seu funcionamento. Esse analisador é implantado como parte da instalação da solução.

Atualize o analisador e especifique o nome do host das máquinas de origem que transmitem os logs na segunda linha do analisador.

Para acessar o código de função no Log Analytics, navegue até a seção Log Analytics/Microsoft Sentinel Logs, selecione Funções e procure o alias VMwareESXi. Como alternativa, carregue diretamente o código da função. A atualização pode levar cerca de 15 minutos após a instalação.

Caixa de fogo WatchGuard

Siga estas instruções para enviar dados de log do WatchGuard Firebox via syslog.

Conteúdos relacionados

• Ingerir mensagens syslog e CEF para o Microsoft Sentinel com o Azure Monitor Agent
• Syslog via AMA e Common Event Format (CEF) via conectores AMA para Microsoft Sentinel