[Inaktuell] Zscaler Private Access-anslutningsprogram för Microsoft Sentinel
Viktigt!
Logginsamling från många enheter och enheter stöds nu av Common Event Format (CEF) via AMA, Syslog via AMA eller anpassade loggar via AMA-dataanslutningen i Microsoft Sentinel. Mer information finns i Hitta din Microsoft Sentinel-dataanslutningsapp.
Zscaler Private Access (ZPA)-dataanslutningen ger möjlighet att mata in Zscaler Private Access-händelser i Microsoft Sentinel. Mer information finns i Zscaler Private Access-dokumentationen.
Det här är automatiskt genererat innehåll. Om du vill ha ändringar kontaktar du lösningsleverantören.
Anslutningsattribut
Anslutningsattribut | beskrivning |
---|---|
Kusto-funktionsalias | ZPAEvent |
Kusto-funktions-URL | https://aka.ms/sentinel-ZscalerPrivateAccess-parser |
Log Analytics-tabeller | ZPA_CL |
Stöd för regler för datainsamling | Stöds för närvarande inte |
Stöds av | Microsoft Corporation |
Exempel på frågor
Alla loggar
ZPAEvent
| sort by TimeGenerated
Installationsanvisningar för leverantör
Kommentar
Den här dataanslutningsappen är beroende av en parser som baseras på en Kusto-funktion för att fungera som förväntat. Följ de här stegen för att skapa Kusto Functions-aliaset ZPAEvent
Kommentar
Den här dataanslutningsappen har utvecklats med Zscaler Private Access-versionen: 21.67.1
- Installera och registrera agenten för Linux eller Windows
Installera agenten på servern där Zscaler Private Access-loggarna vidarebefordras.
Loggar från Zscaler Private Access Server som distribueras på Linux- eller Windows-servrar samlas in av Linux- eller Windows-agenter.
- Konfigurera loggarna som ska samlas in
Följ konfigurationsstegen nedan för att hämta Zscaler Private Access-loggar till Microsoft Sentinel. Mer information om de här stegen finns i Dokumentation om Azure Monitor . Zscaler Private Access-loggar levereras via Log Streaming Service (LSS). Mer information finns i LSS-dokumentationen
Konfigurera loggmottagare. När du konfigurerar en loggmottagare väljer du JSON som loggmall.
Ladda ned konfigurationsfilen zpa.conf wget -v https://aka.ms/sentinel-zscalerprivateaccess-conf -O zpa.conf
Logga in på servern där du har installerat Azure Log Analytics-agenten.
Kopiera zpa.conf till mappen /etc/opt/microsoft/omsagent/workspace_id/conf/omsagent.d/.
Redigera zpa.conf på följande sätt:
a. ange port som du har angett att Zscaler Log Receivers ska vidarebefordra loggar till (rad 4)
b. zpa.conf använder port 22033 som standard. Kontrollera att den här porten inte används av någon annan källa på servern
c. Om du vill ändra standardporten för zpa.conf kontrollerar du att den inte ska komma i konflikt med standardportarna för AMA-agenten, t.ex. CEF använder TCP-port 25226 eller 25224)
d. ersätt workspace_id med det verkliga värdet för ditt arbetsyte-ID (raderna 14,15,16,19)
Spara ändringar och starta om Azure Log Analytics-agenten för Linux-tjänsten med följande kommando: sudo /opt/microsoft/omsagent/bin/service_control starta om
Nästa steg
Mer information finns i den relaterade lösningen på Azure Marketplace.