Соединитель Zscaler Private Access для Microsoft Sentinel
Соединитель данных Zscaler Private Access (ZPA) предоставляет возможность приема событий Zscaler Private Access в Microsoft Sentinel. Дополнительные сведения см. в документации по Zscaler Private Access.
Это автоматически сформированное содержимое. Для изменений обратитесь к поставщику решений.
атрибуты Подключение or
| Атрибут соединителя | Description |
|---|---|
| Псевдоним функции Kusto | ZPAEvent |
| URL-адрес функции Kusto | https://aka.ms/sentinel-ZscalerPrivateAccess-parser |
| Таблицы Log Analytics | ZPA_CL |
| Поддержка правил сбора данных | В настоящий момент не поддерживается |
| Поддерживается | Корпорация Майкрософт |
Примеры запросов
Все журналы
ZPAEvent
| sort by TimeGenerated
Инструкции по установке поставщика
Примечание.
Правильная работа этого соединителя данных зависит от средства синтаксического анализа на основе функции Kusto. Выполните следующие действия , чтобы создать псевдоним Функций Kusto, ZPAEvent
Примечание.
Этот соединитель данных разработан с помощью Zscaler Private Access версии: 21.67.1
- Установка и подключение агента для Linux или Windows
Установите агент на сервере, на котором перенаправляются журналы частного доступа Zscaler.
Журналы из Zscaler Private Access Server, развернутые на серверах Linux или Windows, собираются агентами Linux или Windows .
- Настройка журналов для сбора
Выполните приведенную ниже инструкцию по настройке, чтобы передать журналы Zscaler Private Access в Microsoft Sentinel. Дополнительные сведения об этих шагах см. в документации по Azure Monitor. Журналы Zscaler Private Access доставляются с помощью службы потоковой передачи журналов (LSS). Дополнительные сведения см. в документации по LSS
Настройте Приемники журналов. При настройке приемника журналов выберите JSON в качестве Шаблона журнала.
Скачать файл конфигурации zpa.conf wget -v https://aka.ms/sentinel-zscalerprivateaccess-conf -O zpa.conf
Войдите на сервер, на котором установлен агент Azure Log Analytics.
Скопируйте zpa.conf в папку /etc/opt/microsoft/omsagent/workspace_id/conf/omsagent.d/.
Измените файл zpa.conf следующим образом:
a. укажите порт, на который вы установили приемники журналов Zscaler для пересылки журналов (строка 4)
b. zpa.conf по умолчанию использует порт 22033 . Убедитесь, что этот порт не используется другим источником на сервере
c. Если вы хотите изменить порт по умолчанию для zpa.conf , убедитесь, что он не должен конфликтовать с портами агента AMA по умолчанию, т. е. (например, CEF использует TCP-порт 25226 или 25224)
d. замените workspace_id реальным значением идентификатора рабочей области (строки 14 15 16 19)
Сохраните изменения и перезапустите агент Azure Log Analytics для службы Linux с помощью следующей команды: sudo /opt/microsoft/omsagent/bin/service_control перезапуск
Следующие шаги
Дополнительные сведения см. в связанном решении в Azure Marketplace.