Прочитать на английском

Поделиться через

CEF через соединитель данных AMA — настройка конкретного устройства или устройства для приема данных Microsoft Sentinel

  • Статья

Сбор журналов из многих устройств безопасности и устройств поддерживается общим форматом событий (CEF) через соединитель данных AMA в Microsoft Sentinel. В этой статье перечислены предоставленные поставщиком инструкции по установке для определенных устройств безопасности и устройств, использующих этот соединитель данных. Обратитесь к поставщику за обновлениями, дополнительными сведениями или сведениями, недоступными для устройства безопасности или устройства.

Чтобы принять данные в рабочую область Log Analytics для Microsoft Sentinel, выполните действия, описанные в разделе "Прием сообщений системного журнала и CEF" в Microsoft Sentinel с помощью агента Azure Monitor. Эти шаги включают установку общего формата событий (CEF) через соединитель данных AMA в Microsoft Sentinel. После установки соединителя используйте инструкции, соответствующие устройству, как показано далее в этой статье, чтобы завершить настройку.

Дополнительные сведения о связанном решении Microsoft Sentinel для каждого из этих устройств или устройств выполните поиск в Azure Marketplace для шаблонов решений типа>продукта или просмотрите решение из центра содержимого в Microsoft Sentinel.

Важно!

Microsoft Sentinel общедоступен в единой платформе операций безопасности Майкрософт на портале Microsoft Defender. Для предварительной версии Microsoft Sentinel доступен на портале Defender без XDR Microsoft Defender или лицензии E5. Дополнительные сведения см . на портале Microsoft Defender в Microsoft Sentinel.

ИИ-аналитик Darktrace

Настройте Darktrace для пересылки сообщений системного журнала в формате CEF в рабочую область Azure с помощью агента системного журнала.

  1. В визуализаторе угроз Darktrace перейдите на страницу System Config (Конфигурация системы) в главном меню в разделе Admin (Администрирование).
  2. В меню слева выберите модули и выберите Microsoft Sentinel из доступных интеграции рабочих процессов.
  3. Найдите CEF системного журнала Microsoft Sentinel и выберите "Создать ", чтобы открыть параметры конфигурации, если только они еще не предоставлены.
  4. В поле Server configuration (Конфигурация сервера) введите расположение сервера пересылки журналов и при необходимости измените коммуникационный порт. Убедитесь, что выбранный порт имеет значение 514 и его использование разрешено всеми промежуточными брандмауэрами.
  5. Настройте пороговые значения оповещений, смещения времени или другие параметры по мере необходимости.
  6. Просмотрите любые другие параметры конфигурации, которые могут потребоваться включить, чтобы изменить синтаксис системного журнала.
  7. Включите функцию Send Alerts (Отправка оповещений) и сохраните изменения.

Akamai Security Events

Выполните следующие действия , чтобы настроить соединитель Akamai CEF для отправки сообщений системного журнала в формате CEF на прокси-компьютер. Убедитесь, что журналы отправляются через порт 514 TCP на IP-адрес компьютера.

AristaAwakeSecurity

Выполните следующие действия, чтобы перенаправить результаты сопоставления состязательной модели в сборщик CEF, прослушивающий TCP-порт 514 по IP 192.168.0.1:

  1. Перейдите на страницу "Навыки управления обнаружением" в пользовательском интерфейсе Awake.
  2. Нажмите кнопку + Добавить новый навык.
  3. Задайте для выражения значение integrations.cef.tcp { destination: "192.168.0.1", port: 514, secure: false, severity: Warning }
  4. Присвойте заголовку описательное имя, например, результат сопоставления "Состязательная модель" в Microsoft Sentinel.
  5. Задайте идентификатор ссылки на что-то легко обнаруживаемое, например integrations.cef.sentinel-forwarder.
  6. Выберите Сохранить.

В течение нескольких минут после сохранения определения и других полей система начинает отправлять новые результаты сопоставления моделей сборщику событий CEF по мере обнаружения.

Дополнительные сведения см. на странице "Добавление сведений о безопасности и push-интеграции управления событиями" из справочной документации в пользовательском интерфейсе Awake.

Aruba ClearPass

Настройте Aruba ClearPass для пересылки сообщений системного журнала в формате CEF в рабочую область Microsoft Sentinel с помощью агента системного журнала.

  1. Следуйте этим инструкциям , чтобы настроить Aruba ClearPass для пересылки системного журнала.
  2. Используйте IP-адрес или имя узла для устройства Linux с агентом Linux, установленным в качестве IP-адреса назначения.

Barracuda WAF

Брандмауэр веб-приложений Barracuda может интегрироваться с журналами и экспортировать их непосредственно в Microsoft Sentinel с помощью агента мониторинга Azure (AMA).

  1. Перейдите к конфигурации WAF Barracuda и следуйте инструкциям, используя следующие параметры для настройки подключения.

  2. Средство журналов веб-брандмауэра. Перейдите к расширенным параметрам рабочей области и на вкладках системных журналов данных>. Убедитесь, что объект существует.

Обратите внимание, что данные из всех регионов хранятся в выбранной рабочей области.

Broadcom SymantecDLP

Настройте Symantec DLP для пересылки сообщений системного журнала в формате CEF в рабочую область Microsoft Sentinel через агент системного журнала.

  1. Выполните следующие инструкции , чтобы настроить Symantec DLP для пересылки системного журнала
  2. Используйте IP-адрес или имя узла для устройства Linux с агентом Linux, установленным в качестве IP-адреса назначения.

Cisco Firepower EStreamer

Установите и настройте клиент Firepower eNcore eStreamer. Дополнительные сведения см. в полном руководстве по установке.

CiscoSEG

Выполните следующие действия, чтобы настроить шлюз безопасной электронной почты Cisco для пересылки журналов с помощью системного журнала:

  1. Настройка подписки журнала.
  2. Выберите консолидированные журналы событий в поле "Тип журнала".

Брандмауэр Citrix Web App

Настройте Citrix WAF для отправки сообщений системного журнала в формате CEF на прокси-компьютер.

  • Найдите руководства по настройке журналов WAF и CEF из службы поддержки Citrix.

  • Следуйте этому руководству , чтобы перенаправить журналы в прокси-сервер. Убедитесь, что журналы отправляются через порт 514 TCP на IP-адрес компьютера Linux.

Клароти

Настройте пересылку журналов с помощью CEF.

  1. Перейдите к разделу Syslog в меню "Конфигурация".
  2. Щелкните +Добавить.
  3. В диалоговом окне добавления нового системного журнала укажите IP-адрес удаленного сервера, порт, протокол.
  4. Выберите CEF формата - сообщений.
  5. Нажмите кнопку "Сохранить", чтобы выйти из диалогового окна "Добавить системный журнал".

Защита контрастности

Настройте агент Защиты контрастности для пересылки событий в системный журнал, как описано ниже https://docs.contrastsecurity.com/en/output-to-syslog.html. Создайте некоторые события атаки для приложения.

КраудСтрик Сокол

Разверните сборщик CrowdStrike Falcon SIEM для пересылки сообщений системного журнала в формате CEF в рабочую область Microsoft Sentinel с помощью агента системного журнала.

  1. Следуйте этим инструкциям , чтобы развернуть сборщик SIEM и перенаправить системный журнал.
  2. Используйте IP-адрес или имя узла для устройства Linux с агентом Linux, установленным в качестве IP-адреса назначения.

События корпоративного хранилища паролей (EPV) CyberArk

В EPV настройте dbparm.ini для отправки сообщений системного журнала в формате CEF на прокси-компьютер. Убедитесь, что журналы отправляются через порт 514 TCP на IP-адресе компьютеров.

Секретный сервер Delinea

Задайте решение безопасности для отправки сообщений системного журнала в формате CEF на прокси-компьютер. Убедитесь, что журналы отправляются через порт 514 TCP на IP-адрес компьютера.

ExtraHop Reveal(x)

Задайте решение безопасности для отправки сообщений системного журнала в формате CEF на прокси-компьютер. Убедитесь, что журналы отправляются через порт 514 TCP на IP-адрес компьютера.

  1. Следуйте инструкциям, чтобы установить пакет соединителя SIEM для обнаружения экстрахопа в системе Reveal(x). Соединитель SIEM необходим для этой интеграции.
  2. Включите триггер для соединителя SIEM для обнаружения экстрахопа — CEF.
  3. Обновите триггер с помощью созданных целевых объектов системного журнала ODS. 

Система Reveal(x) форматирует сообщения системного журнала в формате common Event Format (CEF), а затем отправляет данные в Microsoft Sentinel.

F5 Networks

Настройте F5 для пересылки сообщений системного журнала в формате CEF в рабочую область Microsoft Sentinel с помощью агента системного журнала.

Перейдите в раздел F5 Настройка ведения журнала событий безопасности приложений, следуйте инструкциям по настройке удаленного ведения журнала с помощью следующих рекомендаций:

  1. Для параметра Тип удаленного хранилища выберите значение CEF.
  2. Задайте для параметрапротокола значение UDP.
  3. Задайте IP-адрес для IP-адреса сервера системного журнала.
  4. Задайте номерпорта 514 или порт, используемый агентом.
  5. Задайте для объекта тот объект, который вы настроили в агенте системного журнала. По умолчанию агент задает для этого значения значение local4.
  6. Максимальный размер строки запроса можно задать так же, как и настроено.

Безопасность сети FireEye

Выполните следующие действия для отправки данных с помощью CEF:

  1. Войдите в устройство FireEye с учетной записью администратора.

  2. Выберите Параметры.

  3. Выберите Уведомления. Выберите rsyslog.

  4. Установите флажок типа события.

  5. Убедитесь, что параметры Rsyslog:

    • Формат по умолчанию: CEF
    • Доставка по умолчанию: на событие
    • Отправка по умолчанию: оповещение

Forcepoint CASB

Задайте решение безопасности для отправки сообщений системного журнала в формате CEF на прокси-компьютер. Убедитесь, что журналы отправляются через порт 514 TCP на IP-адрес компьютера.

Forcepoint CSG

Интеграция доступна с двумя вариантами реализации:

  1. Использует образы Docker, в которых компонент интеграции уже установлен со всеми необходимыми зависимостями. Следуйте инструкциям, приведенным в руководстве по интеграции.
  2. Требуется ручное развертывание компонента интеграции на чистом компьютере Linux. Следуйте инструкциям, приведенным в руководстве по интеграции.

Forcepoint NGFW

Задайте решение безопасности для отправки сообщений системного журнала в формате CEF на прокси-компьютер. Убедитесь, что журналы отправляются через порт 514 TCP на IP-адрес компьютера.

ForgeRock Common Audit для CEF

В ForgeRock установите и настройте этот общий аудит (CAUD) для Microsoft Sentinel в документации https://github.com/javaservlets/SentinelAuditEventHandler. Затем в Azure выполните действия по настройке CEF через соединитель данных AMA.

Fortinet

Задайте fortinet для отправки сообщений Syslog в формате CEF на прокси-компьютер. Убедитесь, что журналы отправляются через порт 514 TCP на IP-адрес компьютера.

Скопируйте приведенные ниже команды CLI и выполните следующие действия.

  • Замените "IP-адрес> сервера<" IP-адресом агента Системного журнала.
  • Задайте для параметра "<facility_name>", чтобы использовать объект, настроенный в агенте Syslog (по умолчанию агент задает для этого значение local4).
  • Задайте для порта Системного журнала значение 514, используемый агентом.
  • Чтобы включить формат CEF в ранних версиях FortiOS, может потребоваться выполнить команду set csv disable.
    Дополнительные сведения см. в библиотеке документов Fortinet, выберите свою версию и используйте pdf-файлы "Справочник по журналам" и "Справочник по сообщениям журнала".

Подробнее>

Настройте подключение с помощью интерфейса командной строки для выполнения следующих команд: config log syslogd setting/n set status enable/nset format cef/nset port 514/nset server <ip_address_of_Receiver>/nend

iboss

Настройте консоль угроз для отправки сообщений системного журнала в формате CEF в рабочую область Azure. Запишите идентификатор рабочей области и первичный ключ в рабочей области Log Analytics. Выберите рабочую область в меню Рабочие области Log Analytics на портале Azure. Затем в разделе Параметры выберите Управление агентами.

  1. Перейдите к отчету и аналитике в консоли iboss.
  2. Выберите пересылку журналов>из репортера.
  3. Выберите "Действия>" "Добавить службу".
  4. Переключите на Microsoft Sentinel в качестве типа службы и введите идентификатор рабочей области или первичный ключ вместе с другими критериями. Если был настроен выделенный прокси-компьютер Linux, переключите системный журнал в качестве типа службы и настройте параметры, чтобы указать на выделенный прокси-компьютер Linux.
  5. Подождите до двух минут, пока программа установки завершится.
  6. Выберите службу Microsoft Sentinel и убедитесь, что состояние установки Microsoft Sentinel выполнено успешно. Если настроен выделенный прокси-компьютер Linux, можно проверить подключение.

Illumio Core

Настройка формата события.

  1. В меню веб-консоли PCE выберите параметры > событий, чтобы просмотреть текущие параметры.
  2. Нажмите кнопку "Изменить", чтобы изменить параметры.
  3. Задайте для формата событий значение CEF.
  4. (Необязательно) Настройка серьезности событий и периода хранения.

Настройте перенаправление событий на внешний сервер системного журнала.

  1. В меню веб-консоли PCE выберите параметры> событий.
  2. Выберите Добавить.
  3. Выберите " Добавить репозиторий".
  4. Завершите диалоговое окно добавления репозитория .
  5. Нажмите кнопку "ОК ", чтобы сохранить конфигурацию пересылки событий.

Неиспользуемая платформа

  1. Задайте решение безопасности для отправки сообщений системного журнала в формате CEF на прокси-компьютер. Убедитесь, что журналы отправляются через порт 514 TCP на IP-адрес компьютера.

  2. Войдите в неиспользуемую консоль и перейдите к отчету "Параметры".>

  3. Найдите серверы системного журнала.

  4. Введите следующие сведения:

    • Имя узла: IP-адрес агента syslog Linux или полное доменное имя узла
    • Порт: 514
    • Протокол: TCP.
    • Аудит сообщений: отправка сообщений аудита на сервер

  5. Чтобы добавить сервер системного журнала, нажмите кнопку "Добавить".

Дополнительные сведения о добавлении нового сервера системного журнала на платформу Illusive см. здесь: https://support.illusivenetworks.com/hc/en-us/sections/360002292119-Documentation-by-Version

Imperva WAF Gateway

Для этого соединителя требуется создать интерфейс действия и набор действий в MX Imperva SecureSphere. Выполните действия , чтобы создать требования.

  1. Создайте новый интерфейс действия, содержащий необходимые параметры для отправки оповещений WAF в Microsoft Sentinel.
  2. Создайте новый набор действий, использующий настроенный интерфейс действия.
  3. Примените набор действий к любым политикам безопасности, которые вы хотите получать оповещения для отправки в Microsoft Sentinel.

Соединитель облачных данных Infoblox

Выполните следующие действия, чтобы настроить CDC Infoblox для отправки данных BloxOne в Microsoft Sentinel с помощью агента системного журнала Linux.

  1. Перейдите к разделу "Управление соединителем> данных".
  2. Выберите вкладку "Конфигурация назначения" в верхней части окна.
  3. Выберите "Создать > системный журнал".
    • Имя: присвойте новому назначению понятное имя, например Microsoft-Sentinel-Destination.
    • Описание. При необходимости присвойте ему понятное описание.
    • Состояние: задайте для состояния значение "Включено".
    • Формат: задайте для формата CEF.
    • Полное доменное имя или IP-адрес: введите IP-адрес устройства Linux, на котором установлен агент Linux.
    • Порт: оставьте номер порта 514.
    • Протокол: выберите требуемый протокол и сертификат ЦС, если это применимо.
    • Выберите Сохранить и закрыть.
  4. Выберите вкладку "Конфигурация потока трафика" в верхней части.
  5. Нажмите кнопку создания.
    • Имя: присвойте новому потоку трафика понятное имя, например Microsoft-Sentinel-Flow.
    • Описание. При необходимости присвойте ему понятное описание.
    • Состояние: задайте для состояния значение "Включено".
    • Разверните раздел "Экземпляр службы".
      • Экземпляр службы: выберите нужный экземпляр службы, для которого включена служба соединителя данных.
    • Разверните раздел "Исходная конфигурация".
      • Источник: select BloxOne Cloud Source.
      • Выберите все нужные типы журналов , которые вы хотите собрать. В настоящее время поддерживаются типы журналов:
        • Журнал запросов и ответов защиты от угроз
        • Журнал попаданий в каналы угроз защиты от угроз
        • Журнал запросов и ответов DDI
        • Журнал аренды DHCP DDI
    • Разверните раздел "Конфигурация назначения".
      • Выберите созданное место назначения .
    • Выберите Сохранить и закрыть.
  6. Разрешите настройке некоторое время активации.

Infoblox SOC Insights

Выполните следующие действия, чтобы настроить CDC Infoblox для отправки данных BloxOne в Microsoft Sentinel с помощью агента системного журнала Linux.

  1. Перейдите к разделу "Управление соединителем >данных".
  2. Выберите вкладку "Конфигурация назначения" в верхней части окна.
  3. Выберите "Создать > системный журнал".
    • Имя: присвойте новому назначению понятное имя, например Microsoft-Sentinel-Destination.
    • Описание. При необходимости присвойте ему понятное описание.
    • Состояние: задайте для состояния значение "Включено".
    • Формат: задайте для формата CEF.
    • Полное доменное имя или IP-адрес: введите IP-адрес устройства Linux, на котором установлен агент Linux.
    • Порт: оставьте номер порта 514.
    • Протокол: выберите требуемый протокол и сертификат ЦС, если это применимо.
    • Выберите Сохранить и закрыть.
  4. Выберите вкладку "Конфигурация потока трафика" в верхней части.
  5. Нажмите кнопку создания.
    • Имя: присвойте новому потоку трафика понятное имя, например Microsoft-Sentinel-Flow.
    • Описание. При необходимости присвойте ему понятное описание.
    • Состояние: задайте для состояния значение "Включено".
    • Разверните раздел "Экземпляр службы".
      • Экземпляр службы. Выберите нужный экземпляр службы, для которого включена служба соединителя данных.
    • Разверните раздел "Исходная конфигурация".
      • Источник: select BloxOne Cloud Source.
      • Выберите тип журнала внутренних уведомлений.
    • Разверните раздел "Конфигурация назначения".
      • Выберите созданное место назначения .
    • Выберите Сохранить и закрыть.
  6. Разрешите настройке некоторое время активации.

KasperskySecurityCenter

Следуйте инструкциям по настройке экспорта событий из Центра безопасности Kaspersky.

Morphisec

Задайте решение безопасности для отправки сообщений системного журнала в формате CEF на прокси-компьютер. Убедитесь, что журналы отправляются через порт 514 TCP на IP-адрес компьютера.

Аудитор Netwrix

Следуйте инструкциям по настройке экспорта событий из Netwrix Auditor.

NozomiNetworks

Выполните следующие действия, чтобы настроить устройство Nozomi Networks для отправки оповещений, аудита и журналов работоспособности с помощью системного журнала в формате CEF:

  1. Войдите в консоль Guardian.
  2. Перейдите в раздел администрирование> Интеграция данных.
  3. Щелкните +Добавить.
  4. Выберите общий формат событий (CEF) в раскрывающемся списке.
  5. Создайте новую конечную точку с помощью соответствующих сведений о узле.
  6. Включение оповещений, журналов аудита и журналов работоспособности для отправки.

Onapsis Platform

Дополнительные сведения о настройке перенаправления журналов в агент системного журнала см. в справке по onapsis.

  1. Перейдите к разделу "Настройка>сторонних интеграции" защита сигналов> и следуйте инструкциям microsoft Sentinel.

  2. Убедитесь, что консоль Onapsis может связаться с прокси-компьютером, на котором установлен агент. Журналы должны отправляться в порт 514 с помощью TCP.

OSSEC

Выполните следующие действия , чтобы настроить отправку оповещений OSSEC с помощью системного журнала.

Palo Alto - XDR (Cortex)

Настройте Palo Alto XDR (Cortex) для пересылки сообщений в формате CEF в рабочую область Microsoft Sentinel через агент системного журнала.

  1. Перейдите к параметрам и конфигурациям Cortex.
  2. Выберите, чтобы добавить новый сервер в разделе "Внешние приложения".
  3. Затем укажите имя и укажите общедоступный IP-адрес сервера системного журнала в целевом расположении.
  4. Присвойте номеру порта значение 514.
  5. В поле "Средство" выберите FAC_SYSLOG в раскрывающемся списке.
  6. Выберите протокол в качестве UDP.
  7. Нажмите кнопку создания.

PaloAlto-PAN-OS

Настройте Palo Alto Networks перенаправление сообщений системного журнала в формате CEF в рабочую область Microsoft Sentinel через агент системного журнала.

  1. Перейдите к настройке Palo Alto Networks NGFW для отправки событий CEF.

  2. Перейдите к palo Alto CEF Configuration и Palo Alto Configure Syslog Monitoring steps 2, 3, выберите свою версию и следуйте инструкциям, используя следующие рекомендации:

    1. Задайте для форматасервера Syslog значение BSD.
    2. Скопируйте текст в редактор и удалите все символы, которые могут нарушить формат журнала перед вставками. Операции копирования и вставки из PDF-файла могут изменить текст и вставить случайные символы.

Подробнее

PaloAltoCDL

Следуйте инструкциям , чтобы настроить перенаправление журналов из Cortex Data Lake на сервер системного журнала.

PingFederate

Выполните следующие действия , чтобы настроить PingFederate, отправляя журнал аудита через системный журнал в формате CEF.

RidgeSecurity

Настройте RidgeBot для пересылки событий на сервер системного журнала, как описано здесь. Создайте некоторые события атаки для приложения.

Брандмауэр SonicWall

Задайте брандмауэр SonicWall для отправки сообщений системного журнала в формате CEF на прокси-компьютер. Убедитесь, что журналы отправляются через порт 514 TCP на IP-адрес компьютера.

Следуйте инструкциям. Затем убедитесь, что в качестве объекта выбрано локальное использование 4. Затем выберите ArcSight в качестве формата системного журнала.

Trend Micro Apex One

Выполните следующие действия , чтобы настроить apex Central для отправки оповещений с помощью системного журнала. При настройке на шаге 6 выберите формат журнала CEF.

Trend Micro Deep Security

Задайте решение безопасности для отправки сообщений системного журнала в формате CEF на прокси-компьютер. Убедитесь, что журналы отправляются через порт 514 TCP на IP-адрес компьютера.

  1. Переадресация событий Micro Deep Security в агент системного журнала.
  2. Определите новую конфигурацию системного журнала, которая использует формат CEF, ссылаясь на эту статью знаний для получения дополнительных сведений.
  3. Настройте диспетчер глубокой безопасности, чтобы использовать эту новую конфигурацию для пересылки событий агенту системного журнала с помощью этих инструкций.
  4. Сохраните функцию TrendMicroDeepSecurity , чтобы она правильно запрашивала данные Trend Micro Deep Security.

Trend Micro TippingPoint

Задайте sms TippingPoint для отправки сообщений системного журнала в формате ArcSight CEF версии 4.2 на прокси-компьютер. Убедитесь, что журналы отправляются через порт 514 TCP на IP-адрес компьютера.

Контроллер приложений vArmour

Отправка сообщений системного журнала в формате CEF на прокси-компьютер. Убедитесь, что журналы отправляются через порт 514 TCP на IP-адрес компьютера.

Скачайте руководство пользователя из https://support.varmour.com/hc/en-us/articles/360057444831-vArmour-Application-Controller-6-0-User-Guide. В руководстве пользователя см. статью "Настройка системного журнала для мониторинга и нарушений" и выполните шаги 1–3.

Обнаружение ИИ Vectra

Настройте агент Vectra (X Series) для пересылки сообщений системного журнала в формате CEF в рабочую область Microsoft Sentinel через агент системного журнала.

В пользовательском интерфейсе Vectra перейдите в раздел "Уведомления о параметрах > " и "Изменить конфигурацию системного журнала". Выполните следующие инструкции по настройке подключения:

  1. Добавьте новое назначение (в котором выполняется агент системного журнала Microsoft Sentinel).
  2. Задайте для порта значение 514.
  3. Задайте протоколкак UDP.
  4. Задайте для форматаCEF.
  5. Задайте типы журналов. Выберите все доступные типы журналов.
  6. Нажмите кнопку "Сохранить".
  7. Нажмите кнопку "Тест", чтобы отправить некоторые тестовые события.

Дополнительные сведения см. в руководстве по Syslog Cognito Detect, которое можно скачать на странице ресурсов в пользовательском интерфейсе Detect.

Votiro

Настройте конечные точки Votiro для отправки сообщений системного журнала в формате CEF на компьютер пересылки. Убедитесь, что журналы отправляются через порт 514 TCP на IP-адрес компьютера пересылки.

WireX Network Forensics Platform

Обратитесь в службу поддержки WireX (https://wirexsystems.com/contact-us/), чтобы настроить решение NFP для отправки сообщений системного журнала в формате CEF на прокси-компьютер. Убедитесь, что центральный менеджер может отправлять журналы через порт 514 TCP на IP-адрес компьютера.

WithSecure Elements via Connector

Подключите устройство Соединителя WithSecure Elements к Microsoft Sentinel. Соединитель данных соединителя элементов WithSecure позволяет легко подключать журналы элементов WithSecure с помощью Microsoft Sentinel, просматривать панели мониторинга, создавать пользовательские оповещения и улучшать исследование.

Примечание

Данные хранятся в географическом расположении рабочей области, в которой выполняется Microsoft Sentinel.

Настройка с помощью соединителя Secure Elements для пересылки сообщений системного журнала в формате CEF в рабочую область Log Analytics с помощью агента системного журнала.

  1. Выберите или создайте компьютер Linux для Microsoft Sentinel для использования в качестве прокси-сервера между решением WithSecurity и Microsoft Sentinel. Компьютер может быть локальной средой, Microsoft Azure или другой облачной средой. Linux необходимо установить syslog-ng и python/python3 установить.
  2. Установите агент мониторинга Azure (AMA) на компьютере Linux и настройте компьютер, чтобы прослушивать необходимый порт и пересылать сообщения в рабочую область Microsoft Sentinel. Сборщик CEF собирает сообщения CEF, передаваемые через TCP-порт 514. Вы должны обладать повышенными правами (sudo) на компьютере.
  3. Перейдите к EPP на портале WithSecure Elements. Затем перейдите в раздел "Загрузки". В разделе "Соединитель элементов" выберите "Создать ключ подписки". Ключ подписки можно проверить в подписках.
  4. В разделе Downloads in WithSecure Elements Connector выберите правильный установщик и скачайте его.
  5. При использовании EPP откройте параметры учетной записи в правом верхнем углу. Затем выберите " Получить ключ API управления". Если ключ был создан ранее, его также можно прочитать.
  6. Чтобы установить соединитель Элементов, следуйте инструкциям в документации по соединителю Элементов.
  7. Если доступ к API не настроен во время установки, следуйте инструкциям по настройке доступа API для соединителя Элементов.
  8. Перейдите к EPP, а затем профили, а затем используйте для соединителя , где можно просмотреть профили соединителя. Создайте новый профиль (или измените существующий не доступный только для чтения профиль). В переадресации событий включите его. Задайте системный адрес SIEM: 127.0.0.1:514. Задайте формат общего формата событий. Выберите протокол TCP. Сохраните профиль и назначьте его соединителю Элементов на вкладке "Устройства ".
  9. Чтобы использовать соответствующую схему в Log Analytics для соединителя Элементов WithSecure, найдите CommonSecurityLog.
  10. Продолжайте проверку подключения CEF.

Zscaler

Задайте для продукта Zscaler отправку сообщений системного журнала в формате CEF агенту системного журнала. Убедитесь, что вы отправляете журналы через порт 514 TCP.

Дополнительные сведения см . в руководстве по интеграции Zscaler Microsoft Sentinel.

Связанный контент