Соединитель Elastic Agent (автономный) для Microsoft Sentinel
Соединитель данных elastic Agent предоставляет возможность приема журналов эластичных агентов , метрик и данных безопасности в Microsoft Sentinel.
Это автоматически сформированное содержимое. Для изменений обратитесь к поставщику решений.
атрибуты Подключение or
| Атрибут соединителя | Description |
|---|---|
| Таблицы Log Analytics | ElasticAgentLogs_CL |
| Поддержка правил сбора данных | В настоящий момент не поддерживается |
| Поддерживается | Корпорация Майкрософт |
Примеры запросов
Первые 10 устройств
ElasticAgentEvent
| summarize count() by DvcIpAddr
| top 10 by count_
Необходимые компоненты
Чтобы интегрироваться с эластичным агентом (автономный) убедитесь, что у вас есть:
- Включите настраиваемые предварительные требования, если для подключения требуется - в противном случае удалите таможни: описание любого пользовательского предварительного требования
Инструкции по установке поставщика
Примечание.
Этот соединитель данных зависит от средства синтаксического анализа на основе функции Kusto для работы, как ожидалось , ElasticAgentEvent , развернутой с помощью решения Microsoft Sentinel.
Примечание.
Этот соединитель данных разработан с помощью эластичного агента 7.14.
- Установка и подключение агента для Linux или Windows
Установите агент на сервере, на котором перенаправляются журналы эластичного агента.
Журналы из эластичных агентов, развернутых на серверах Linux или Windows, собираются агентами Linux или Windows .
- Настройка эластичного агента (автономный)
Следуйте инструкциям по настройке эластичного агента для вывода в Logstash
- Настройка Logstash для использования подключаемого модуля вывода Microsoft Logstash
Выполните действия, чтобы настроить Logstash для использования подключаемого модуля microsoft-logstash-output-azure-loganalytics:
3.1) Проверьте, установлен ли подключаемый модуль:
Список подключаемых модулей ./logstash-plugin | grep "azure-loganalytics" (если подключаемый модуль установлен на шаге 3.3)
3.2) Установите подключаемый модуль:
./logstash-plugin install microsoft-logstash-output-azure-loganalytics
3.3) Настройка Logstash для использования подключаемого модуля
- Проверка приема журналов
Следуйте инструкциям, чтобы проверить подключение:
Откройте Log Analytics, чтобы проверка, если журналы получены с помощью пользовательской таблицы, указанной на шаге 3.3 (например, ElasticAgentLogs_CL).
Это может занять около 30 минут, пока данные подключения не передаются в рабочую область.
Следующие шаги
Дополнительные сведения см. в связанном решении в Azure Marketplace.