CEF via AMA-dataanslutning – Konfigurera specifik installation eller enhet för Datainmatning i Microsoft Sentinel

Logginsamling från många säkerhetsenheter och enheter stöds av Common Event Format (CEF) via AMA-dataanslutningen i Microsoft Sentinel. Den här artikeln innehåller installationsanvisningar från leverantören för specifika säkerhetsinstallationer och enheter som använder den här dataanslutningsappen. Kontakta leverantören för uppdateringar, mer information eller var informationen inte är tillgänglig för din säkerhetsinstallation eller enhet.

Om du vill vidarebefordra data till Log Analytics-arbetsytan för Microsoft Sentinel slutför du stegen i Mata in syslog- och CEF-meddelanden till Microsoft Sentinel med Azure Monitor-agenten. När du slutför de här stegen installerar du Common Event Format (CEF) via AMA-dataanslutningen i Microsoft Sentinel. Använd sedan lämpliga providerinstruktioner i den här artikeln för att slutföra installationen.

Mer information om den relaterade Microsoft Sentinel-lösningen för var och en av dessa enheter finns i Azure Marketplace efter produkttypslösningsmallar> eller granska lösningen från innehållshubben i Microsoft Sentinel.

AI-analytiker Darktrace

Konfigurera Darktrace för att vidarebefordra syslog-meddelanden i CEF-format till din Azure-arbetsyta via syslog-agenten.

1. I Darktrace Threat Visualizer navigerar du till sidan Systemkonfiguration på huvudmenyn under Admin.
2. På den vänstra menyn väljer du Moduler och väljer Microsoft Sentinel från de tillgängliga arbetsflödesintegreringarna.
3. Leta upp Microsoft Sentinel syslog CEF och välj Ny för att visa konfigurationsinställningarna, om du inte redan har exponerats.
4. I fältet Serverkonfiguration anger du platsen för loggvidare och kan också ändra kommunikationsporten. Kontrollera att den valda porten är inställd på 514 och tillåts av alla mellanliggande brandväggar.
5. Konfigurera eventuella tröskelvärden för aviseringar, tidsförskjutningar eller andra inställningar efter behov.
6. Granska alla andra konfigurationsalternativ som du kanske vill aktivera som ändrar syslog-syntaxen.
7. Aktivera Skicka aviseringar och spara ändringarna.

Akamai-säkerhetshändelser

Följ de här stegen för att konfigurera Akamai CEF-anslutningsappen för att skicka syslog-meddelanden i CEF-format till proxydatorn. Se till att du skickar loggarna till port 514 TCP på datorns IP-adress.

AristaAwakeSecurity

Slutför följande steg för att vidarebefordra matchningsresultat för Awake Adversarial Model till en CEF-insamlare som lyssnar på TCP-port 514 på IP 192.168.0.1:

1. Gå till sidan Kunskaper för identifieringshantering i det vakna användargränssnittet.
2. Välj + Lägg till ny kompetens.
3. Ange uttryck till integrations.cef.tcp { destination: "192.168.0.1", port: 514, secure: false, severity: Warning }
4. Ange Rubrik till ett beskrivande namn, t.ex. Matchresultatet Forward Awake Adversarial Model (Framåtvakad kontradiktorisk modell) till Microsoft Sentinel.
5. Ange Referensidentifierare till något som enkelt kan identifieras, till exempel integrations.cef.sentinel-forwarder.
6. Välj Spara.

Inom några minuter efter att definitionen och andra fält sparats börjar systemet skicka nya modellmatchningsresultat till CEF-händelseinsamlaren när de identifieras.

Mer information finns på sidan Lägga till säkerhetsinformation och händelsehanterings push-integrering från hjälpdokumentationen i det vakna användargränssnittet.

Aruba ClearPass

Konfigurera Aruba ClearPass för att vidarebefordra syslog-meddelanden i CEF-format till din Microsoft Sentinel-arbetsyta via syslog-agenten.

1. Följ de här anvisningarna för att konfigurera Aruba ClearPass att vidarebefordra syslog.
2. Använd IP-adressen eller värdnamnet för Linux-enheten med Linux-agenten installerad som mål-IP-adress .

Barracuda WAF

Barracuda Web Application Firewall kan integreras med och exportera loggar direkt till Microsoft Sentinel via Azure Monitoring Agent (AMA).

1. Gå till Barracuda WAF-konfiguration och följ anvisningarna med hjälp av följande parametrar för att konfigurera anslutningen.

2. Web Firewall-loggfunktion: Gå till de avancerade inställningarna för din arbetsyta och på flikarna Data>Syslog. Kontrollera att anläggningen finns.

Observera att data från alla regioner lagras på den valda arbetsytan.

Broadcom SymantecDLP

Konfigurera Symantec DLP för att vidarebefordra syslog-meddelanden i CEF-format till din Microsoft Sentinel-arbetsyta via syslog-agenten.

1. Följ de här anvisningarna för att konfigurera Symantec DLP för att vidarebefordra syslog
2. Använd IP-adressen eller värdnamnet för Linux-enheten med Linux-agenten installerad som mål-IP-adress .

Cisco Firepower EStreamer

Installera och konfigurera Firepower eNcore eStreamer-klienten. Mer information finns i den fullständiga installationsguiden.

CiscoSEG

Utför följande steg för att konfigurera Cisco Secure Email Gateway för vidarebefordran av loggar via syslog:

1. Konfigurera loggprenumeration.
2. Välj Konsoliderade händelseloggar i fältet Loggtyp.

Citrix Web App Firewall

Konfigurera Citrix WAF för att skicka syslog-meddelanden i CEF-format till proxydatorn.

• Hitta guider för att konfigurera WAF- och CEF-loggar från Citrix Support.

• Följ den här guiden för att vidarebefordra loggarna till proxyn. Se till att du skickar loggarna till port 514 TCP på Linux-datorns IP-adress.

Claroty

Konfigurera loggvidarebefordring med HJÄLP av CEF.

1. Gå till avsnittet Syslog på konfigurationsmenyn.
2. Välj +Lägg till.
3. I dialogrutan Lägg till ny Syslog anger du Fjärrserver-IP, Port, Protokoll.
4. Välj Meddelandeformat - CEF.
5. Välj Spara för att avsluta dialogrutan Lägg till Syslog.

Kontrastskydd

Konfigurera Contrast Protect-agenten för att vidarebefordra händelser till syslog enligt beskrivningen här: https://docs.contrastsecurity.com/en/output-to-syslog.html. Generera vissa attackhändelser för ditt program.

CrowdStrike Falcon

Distribuera CrowdStrike Falcon SIEM Collector för att vidarebefordra syslog-meddelanden i CEF-format till din Microsoft Sentinel-arbetsyta via syslog-agenten.

1. Följ de här anvisningarna för att distribuera SIEM-insamlaren och vidarebefordra syslog.
2. Använd IP-adressen eller värdnamnet för Linux-enheten med Linux-agenten installerad som mål-IP-adress.

Händelser för CyberArk Enterprise Password Vault (EPV)

På EPV konfigurerar du dbparm.ini för att skicka syslog-meddelanden i CEF-format till proxydatorn. Se till att du skickar loggarna till port 514 TCP på datorns IP-adress.

Delinea Secret Server

Ange din säkerhetslösning för att skicka syslog-meddelanden i CEF-format till proxydatorn. Se till att du skickar loggarna till port 514 TCP på datorns IP-adress.

ExtraHop Reveal(x)

Ange din säkerhetslösning för att skicka syslog-meddelanden i CEF-format till proxydatorn. Se till att skicka loggarna till port 514 TCP på datorns IP-adress.

1. Följ anvisningarna för att installera paketet ExtraHop Detection SIEM Connector i ditt Reveal(x)-system. SIEM-anslutningsappen krävs för den här integreringen.
2. Aktivera utlösaren för EXTRAHop Detection SIEM Connector – CEF.
3. Uppdatera utlösaren med de ODS-syslog-mål som du skapade. 

Reveal(x)-systemet formaterar syslog-meddelanden i Common Event Format (CEF) och skickar sedan data till Microsoft Sentinel.

F5 Networks

Konfigurera F5 för att vidarebefordra syslog-meddelanden i CEF-format till din Microsoft Sentinel-arbetsyta via syslog-agenten.

Gå till F5 Konfigurera händelseloggning för programsäkerhet, följ anvisningarna för att konfigurera fjärrloggning med hjälp av följande riktlinjer:

1. Ange fjärrlagringstypen till CEF.
2. Ange inställningen Protokoll till UDP.
3. Ange IP-adressen till syslog-serverns IP-adress.
4. Ange portnumret till 514 eller den port som agenten använder.
5. Ange den anläggning som du konfigurerade i syslog-agenten. Som standard anger agenten det här värdet till local4.
6. Du kan ange att maximal frågesträngsstorlek ska vara samma som du konfigurerade.

FireEye-nätverkssäkerhet

Slutför följande steg för att skicka data med CEF:

1. Logga in på FireEye-installationen med ett administratörskonto.

2. Välj Inställningar.

3. Välj Meddelanden. Välj rsyslog.

4. Markera kryssrutan Händelsetyp .

5. Kontrollera att Rsyslog-inställningarna är:

   • Standardformat: CEF
   • Standardleverans: Per händelse
   • Skicka som standard: Avisering

Forcepoint CASB

Ange din säkerhetslösning för att skicka syslog-meddelanden i CEF-format till proxydatorn. Se till att du skickar loggarna till port 514 TCP på datorns IP-adress.

Forcepoint CSG

Integreringen görs tillgänglig med två implementeringsalternativ:

1. Använder docker-avbildningar där integreringskomponenten redan är installerad med alla nödvändiga beroenden. Följ anvisningarna i integrationsguiden.
2. Kräver manuell distribution av integreringskomponenten i en ren Linux-dator. Följ anvisningarna i integrationsguiden.

Forcepoint NGFW

Ange din säkerhetslösning för att skicka syslog-meddelanden i CEF-format till proxydatorn. Se till att du skickar loggarna till port 514 TCP på datorns IP-adress.

ForgeRock Common Audit för CEF

I ForgeRock installerar och konfigurerar du denna Common Audit (CAUD) för Microsoft Sentinel enligt dokumentationen på https://github.com/javaservlets/SentinelAuditEventHandler. I Azure följer du sedan stegen för att konfigurera CEF via AMA-dataanslutningen.

iboss

Ställ in hotkonsolen för att skicka syslog-meddelanden i CEF-format till din Azure-arbetsyta. Anteckna ditt arbetsyte-ID och primärnyckel i Din Log Analytics-arbetsyta. Välj arbetsytan på menyn Log Analytics-arbetsytor i Azure-portalen. Välj sedan Agenthantering i avsnittet Inställningar .

1. Gå till Rapportering och analys i din iboss-konsol.
2. Välj Vidarebefordra logg>från reporter.
3. Välj Åtgärder>Lägg till tjänst.
4. Växla till Microsoft Sentinel som tjänsttyp och ange ditt arbetsyte-ID/primärnyckel tillsammans med andra kriterier. Om en dedikerad Proxy Linux-dator har konfigurerats växlar du till Syslog som tjänsttypoch konfigurerar inställningarna så att de pekar på din dedikerade Proxy Linux-dator.
5. Vänta en till två minuter tills installationen har slutförts.
6. Välj din Microsoft Sentinel-tjänst och kontrollera att microsoft Sentinel-konfigurationsstatusen har lyckats. Om en dedikerad Proxy Linux-dator har konfigurerats kan du verifiera anslutningen.

Illumio Core

Konfigurera händelseformat.

1. På PCE-webbkonsolmenyn väljer du Inställningar > Händelseinställningar för att visa dina aktuella inställningar.
2. Välj Redigera för att ändra inställningarna.
3. Ange Händelseformat till CEF.
4. (Valfritt) Konfigurera allvarlighetsgrad och kvarhållningsperiod för händelser.

Konfigurera vidarebefordran av händelser till en extern syslog-server.

1. På PCE-webbkonsolmenyn väljer du Inställningar>Händelseinställningar.
2. Markera Lägga till.
3. Välj Lägg till lagringsplats.
4. Slutför dialogrutan Lägg till lagringsplats.
5. Välj OK för att spara konfigurationen för vidarebefordran av händelser.

Illusiv plattform

1. Ange din säkerhetslösning för att skicka syslog-meddelanden i CEF-format till proxydatorn. Se till att du skickar loggarna till port 514 TCP på datorns IP-adress.

2. Logga in på Illusive Console och gå till Inställningsrapportering>.

3. Hitta Syslog-servrar.

4. Ange följande information:

   • Värdnamn: Linux Syslog-agentens IP-adress eller FQDN-värdnamn
   • Port: 514
   • Protokoll: TCP
   • Granskningsmeddelanden: Skicka granskningsmeddelanden till servern

5. Om du vill lägga till syslog-servern väljer du Lägg till.

Mer information om hur du lägger till en ny syslog-server i Illusive-plattformen finns i administratörsguiden för illusiva nätverk här: https://support.illusivenetworks.com/hc/en-us/sections/360002292119-Documentation-by-Version

Imperva WAF Gateway

Den här anslutningsappen kräver att ett åtgärdsgränssnitt och en åtgärdsuppsättning skapas på Imperva SecureSphere MX. Följ stegen för att skapa kraven.

1. Skapa ett nytt åtgärdsgränssnitt som innehåller de parametrar som krävs för att skicka WAF-aviseringar till Microsoft Sentinel.
2. Skapa en ny åtgärdsuppsättning som använder det konfigurerade åtgärdsgränssnittet.
3. Tillämpa åtgärdsuppsättningen på alla säkerhetsprinciper som du vill att aviseringar ska skickas till Microsoft Sentinel.

Infoblox Cloud Data Connector

Utför följande steg för att konfigurera Infoblox CDC för att skicka BloxOne-data till Microsoft Sentinel via Linux syslog-agenten.

1. Gå till Hantera>dataanslutningsprogram.
2. Välj fliken Målkonfiguration överst.
3. Välj Skapa > Syslog.
   • Namn: Ge det nya målet ett meningsfullt namn, till exempel Microsoft-Sentinel-Destination.
   • Beskrivning: Om du vill kan du ge den en beskrivande beskrivning.
   • Tillstånd: Ange tillståndet till Aktiverad.
   • Format: Ange formatet till CEF.
   • FQDN/IP: Ange IP-adressen för den Linux-enhet där Linux-agenten är installerad.
   • Port: Låt portnumret vara 514.
   • Protokoll: Välj önskat protokoll och CA-certifikat om det är tillämpligt.
   • Välj Spara och stäng.
4. Välj fliken Konfiguration av trafikflöde överst.
5. Välj Skapa.
   • Namn: Ge det nya trafikflödet ett beskrivande namn, till exempel Microsoft-Sentinel-Flow.
   • Beskrivning: Om du vill kan du ge den en beskrivande beskrivning.
   • Tillstånd: Ange tillståndet till Aktiverad.
   • Expandera avsnittet Tjänstinstans .
     • Tjänstinstans: Välj önskad tjänstinstans som dataanslutningstjänsten är aktiverad för.
   • Expandera avsnittet Källkonfiguration .
     • Källa: Välj BloxOne-molnkälla.
     • Välj alla önskade loggtyper som du vill samla in. Loggtyper som stöds för närvarande är:
       • Fråge-/svarslogg för hotskydd
       • Hotskyddsflöden träffar loggen
       • DDI-fråge-/svarslogg
       • DDI DHCP-lånelogg
   • Expandera avsnittet Målkonfiguration .
     • Välj det mål som du skapade.
   • Välj Spara och stäng.
6. Tillåt konfigurationen en stund att aktivera.

Infoblox SOC Insights

Utför följande steg för att konfigurera Infoblox CDC för att skicka BloxOne-data till Microsoft Sentinel via Linux syslog-agenten.

1. Gå till Hantera > dataanslutningsprogram.
2. Välj fliken Målkonfiguration överst.
3. Välj Skapa > Syslog.
   • Namn: Ge det nya målet ett meningsfullt namn, till exempel Microsoft-Sentinel-Destination.
   • Beskrivning: Om du vill kan du ge den en beskrivande beskrivning.
   • Tillstånd: Ange tillståndet till Aktiverad.
   • Format: Ange formatet till CEF.
   • FQDN/IP: Ange IP-adressen för den Linux-enhet där Linux-agenten är installerad.
   • Port: Låt portnumret vara 514.
   • Protokoll: Välj önskat protokoll och CA-certifikat om det är tillämpligt.
   • Välj Spara och stäng.
4. Välj fliken Konfiguration av trafikflöde överst.
5. Välj Skapa.
   • Namn: Ge det nya trafikflödet ett beskrivande namn, till exempel Microsoft-Sentinel-Flow.
   • Beskrivning: Om du vill kan du ge den en beskrivande beskrivning.
   • Tillstånd: Ange tillståndet till Aktiverad.
   • Expandera avsnittet Tjänstinstans .
     • Tjänstinstans: Välj önskad tjänstinstans som dataanslutningstjänsten är aktiverad för.
   • Expandera avsnittet Källkonfiguration .
     • Källa: Välj BloxOne-molnkälla.
     • Välj loggtypen Interna meddelanden .
   • Expandera avsnittet Målkonfiguration .
     • Välj det mål som du skapade.
   • Välj Spara och stäng.
6. Tillåt konfigurationen en stund att aktivera.

KasperskySecurityCenter

Följ anvisningarna för att konfigurera händelseexport från Kaspersky Security Center.

Morphisec

Ange din säkerhetslösning för att skicka syslog-meddelanden i CEF-format till proxydatorn. Se till att du skickar loggarna till port 514 TCP på datorns IP-adress.

Netwrix-revisor

Följ anvisningarna för att konfigurera händelseexport från Netwrix-revisorn.

NozomiNetworks

Utför följande steg för att konfigurera Nozomi Networks-enheten för att skicka aviseringar, gransknings- och hälsologgar via syslog i CEF-format:

1. Logga in på Guardian-konsolen.
2. Gå till Administrationsdataintegrering>.
3. Välj +Lägg till.
4. Välj Common Event Format (CEF) i listrutan.
5. Skapa ny slutpunkt med lämplig värdinformation.
6. Aktivera aviseringar, granskningsloggar och hälsologgar för att skicka.

Onapsis Platform

Se hjälpen onapsis in-product för att konfigurera vidarebefordring av loggar till syslog-agenten.

1. Gå till Konfigurera>tredjepartsintegreringar>Försvara larm och följ anvisningarna för Microsoft Sentinel.

2. Kontrollera att Onapsis-konsolen kan nå proxydatorn där agenten är installerad. Loggarna ska skickas till port 514 med TCP.

OSSEC

Följ de här stegen för att konfigurera OSSEC-sändning av aviseringar via syslog.

Palo Alto - XDR (Cortex)

Konfigurera Palo Alto XDR (Cortex) för att vidarebefordra meddelanden i CEF-format till din Microsoft Sentinel-arbetsyta via syslog-agenten.

1. Gå till Cortex-inställningar och -konfigurationer.
2. Välj för att lägga till ny server under Externa program.
3. Ange sedan namnet och ange den offentliga IP-adressen för din syslog-server i Mål.
4. Ange portnummer som 514.
5. I fältet Anläggning väljer du FAC_SYSLOG i listrutan.
6. Välj Protokoll som UDP.
7. Välj Skapa.

PaloAlto-PAN-OS

Konfigurera Palo Alto Networks för att vidarebefordra syslog-meddelanden i CEF-format till din Microsoft Sentinel-arbetsyta via syslog-agenten.

1. Gå till Konfigurera Palo Alto Networks NGFW för att skicka CEF-händelser.

2. Gå till Palo Alto CEF Configuration och Palo Alto Configure Syslog Monitoring steg 2, 3, välj din version och följ anvisningarna med hjälp av följande riktlinjer:

   1. Ange Serverformatet Syslog till BSD.
   2. Kopiera texten till en redigerare och ta bort tecken som kan bryta loggformatet innan du klistrar in den. Kopierings-/inklistringsåtgärderna från PDF-filen kan ändra texten och infoga slumpmässiga tecken.

Läs mer

PaloAltoCDL

Följ anvisningarna för att konfigurera vidarebefordran av loggar från Cortex Data Lake till en syslog-server.

PingFederate

Följ de här stegen för att konfigurera PingFederate-sändning av granskningslogg via syslog i CEF-format.

RidgeSecurity

Konfigurera RidgeBot för att vidarebefordra händelser till syslog-servern enligt beskrivningen här. Generera vissa attackhändelser för ditt program.

SonicWall Firewall

Ställ in SonicWall-brandväggen för att skicka syslog-meddelanden i CEF-format till proxydatorn. Se till att du skickar loggarna till port 514 TCP på datorns IP-adress.

Följ anvisningarna. Se sedan till att du väljer lokal användning 4 som anläggning. Välj sedan ArcSight som syslog-format.

Trend Micro Apex One

Följ de här stegen för att konfigurera att Apex Central skickar aviseringar via syslog. När du konfigurerar väljer du loggformatet CEF i steg 6.

Trend Micro Deep Security

Ange din säkerhetslösning för att skicka syslog-meddelanden i CEF-format till proxydatorn. Se till att skicka loggarna till port 514 TCP på datorns IP-adress.

1. Vidarebefordra Trend Micro Deep Security-händelser till syslog-agenten.
2. Definiera en ny syslog-konfiguration som använder CEF-formatet genom att referera till den här kunskapsartikeln för ytterligare information.
3. Konfigurera Deep Security Manager att använda den här nya konfigurationen för att vidarebefordra händelser till syslog-agenten med hjälp av dessa instruktioner.
4. Spara funktionen TrendMicroDeepSecurity så att den frågar Trend Micro Deep Security-data korrekt.

Trend Micro TippingPoint

Ange ditt TippingPoint-SMS för att skicka syslog-meddelanden i ArcSight CEF Format v4.2-format till proxydatorn. Se till att du skickar loggarna till port 514 TCP på datorns IP-adress.

vArmour-programkontrollant

Skicka syslog-meddelanden i CEF-format till proxydatorn. Se till att du skickar loggarna till port 514 TCP på datorns IP-adress.

Ladda ned användarhandboken från https://support.varmour.com/hc/en-us/articles/360057444831-vArmour-Application-Controller-6-0-User-Guide. I användarhandboken läser du "Konfigurera Syslog för övervakning och överträdelser" och följer steg 1 till 3.

Vectra AI Detect

Konfigurera Vectra-agenten (X Series) för att vidarebefordra syslog-meddelanden i CEF-format till din Microsoft Sentinel-arbetsyta via syslog-agenten.

Från Vectra-användargränssnittet går du till Inställningar > Meddelanden och Redigera syslog-konfiguration. Följ anvisningarna nedan för att konfigurera anslutningen:

1. Lägg till ett nytt mål (som är värden där Microsoft Sentinel syslog-agenten körs).
2. Ange porten som 514.
3. Ange protokollet som UDP.
4. Ange formatet till CEF.
5. Ange loggtyper. Välj alla tillgängliga loggtyper.
6. Välj på Spara.
7. Välj knappen Testa för att skicka några testhändelser.

Mer information finns i guiden För att identifiera Syslog för Cognito, som kan laddas ned från resurssidan i Identifiera användargränssnitt.

Votiro

Ange Votiro-slutpunkter för att skicka syslog-meddelanden i CEF-format till vidarebefordrard dator. Se till att du skickar loggarna till port 514 TCP på vidarebefordrarens dators IP-adress.

WireX Network Forensics Platform

Kontakta WireX-supporten (https://wirexsystems.com/contact-us/) för att konfigurera NFP-lösningen för att skicka syslog-meddelanden i CEF-format till proxydatorn. Kontrollera att centralhanteraren kan skicka loggarna till port 514 TCP på datorns IP-adress.

WithSecure-element via anslutningsprogram

Anslut anslutningsprogrammet för WithSecure-element till Microsoft Sentinel. Med dataanslutningsappen för WithSecure Elements Connector kan du enkelt ansluta dina WithSecure Elements-loggar till Microsoft Sentinel, visa instrumentpaneler, skapa anpassade aviseringar och förbättra undersökningen.

Kommentar

Data lagras på den geografiska platsen för arbetsytan där du kör Microsoft Sentinel.

Konfigurera med Secure Elements Connector för att vidarebefordra syslog-meddelanden i CEF-format till Din Log Analytics-arbetsyta via syslog-agenten.

1. Välj eller skapa en Linux-dator som Microsoft Sentinel ska använda som proxy mellan din WithSecurity-lösning och Microsoft Sentinel. Datorn kan vara en lokal miljö, Microsoft Azure eller annan molnbaserad miljö. Linux måste ha syslog-ng och python/python3 installerat.
2. Installera Azure Monitoring Agent (AMA) på din Linux-dator och konfigurera datorn så att den lyssnar på den nödvändiga porten och vidarebefordrar meddelanden till din Microsoft Sentinel-arbetsyta. CEF-insamlaren samlar in CEF-meddelanden på port 514 TCP. Du måste ha utökade behörigheter (sudo) på datorn.
3. Gå till EPP i WithSecure Elements-portalen. Gå sedan till Nedladdningar. I avsnittet Elementanslutning väljer du Skapa prenumerationsnyckel. Du kan kontrollera din prenumerationsnyckel i Prenumerationer.
4. I avsnittet Nedladdningar i WithSecure Elements Connector väljer du rätt installationsprogram och laddar ned det.
5. När du är i EPP öppnar du kontoinställningar från det övre högra hörnet. Välj sedan Hämta api-nyckel för hantering. Om nyckeln skapades tidigare kan den också läsas där.
6. Om du vill installera Elements Connector följer du Dokumentation om elementanslutningsappen.
7. Om API-åtkomst inte har konfigurerats under installationen följer du Konfigurera API-åtkomst för Elements Connector.
8. Gå till EPP och sedan Profiler och använd sedan För anslutningsapp där du kan se anslutningsprofilerna. Skapa en ny profil (eller redigera en befintlig inte skrivskyddad profil). I Vidarebefordran av händelser aktiverar du det. Ange SIEM-systemadress: 127.0.0.1:514. Ange format till Common Event Format. Protokollet är TCP. Spara profilen och tilldela den till Elementanslutningsappen på fliken Enheter .
9. Om du vill använda relevant schema i Log Analytics för Anslutningsprogrammet för WithSecure-element söker du efter CommonSecurityLog.
10. Fortsätt med att verifiera DIN CEF-anslutning.

Zscaler

Ange Zscaler-produkten för att skicka syslog-meddelanden i CEF-format till din syslog-agent. Se till att du skickar loggarna på port 514 TCP.

Mer information finns i Zscaler Microsoft Sentinel-integreringsguide.

Relaterat innehåll

• Mata in syslog- och CEF-meddelanden till Microsoft Sentinel med Azure Monitor-agenten
• Syslog via AMA och Common Event Format (CEF) via AMA-anslutningsappar för Microsoft Sentinel