[Kullanım dışı] Microsoft Sentinel için Zscaler Özel Erişim bağlayıcısı
Önemli
Birçok gereç ve cihazdan günlük toplama artık Ortak Olay Biçimi (CEF), AMA aracılığıyla Syslog veya Microsoft Sentinel'de AMA veri bağlayıcısı aracılığıyla Özel Günlükler tarafından desteklenmektedir. Daha fazla bilgi için bkz. Microsoft Sentinel veri bağlayıcınızı bulma.
Zscaler Özel Erişim (ZPA) veri bağlayıcısı, Zscaler Özel Erişim olaylarını Microsoft Sentinel'e alma özelliği sağlar. Daha fazla bilgi için Zscaler Özel Erişim belgelerine bakın.
Bu, otomatik olarak oluşturulan içeriktir. Değişiklikler için çözüm sağlayıcısına başvurun.
Bağlayıcı öznitelikleri
Bağlayıcı özniteliği | Açıklama |
---|---|
Kusto işlev diğer adı | ZPAEvent |
Kusto işlev url'si | https://aka.ms/sentinel-ZscalerPrivateAccess-parser |
Log Analytics tabloları | ZPA_CL |
Veri toplama kuralları desteği | Şu anda desteklenmiyor |
Destekleyen: | Microsoft Corporation |
Sorgu örnekleri
Tüm günlükler
ZPAEvent
| sort by TimeGenerated
Satıcı yükleme yönergeleri
Not
Bu veri bağlayıcısı, kusto işlevini temel alan ayrıştırıcının beklendiği gibi çalışmasına bağlıdır. Kusto İşlevleri diğer adı olan ZPAEvent'i oluşturmak için bu adımları izleyin
Not
Bu veri bağlayıcısı, Zscaler Özel Erişim sürümü: 21.67.1 kullanılarak geliştirilmiştir
- Linux veya Windows için aracıyı yükleme ve ekleme
Aracıyı Zscaler Özel Erişim günlüklerinin iletildiği Sunucuya yükleyin.
Linux veya Windows sunucularında dağıtılan Zscaler Özel Erişim Sunucusu günlükleri Linux veya Windows aracıları tarafından toplanır.
- Toplanacak günlükleri yapılandırma
Zscaler Özel Erişim günlüklerini Microsoft Sentinel'e almak için aşağıdaki yapılandırma adımlarını izleyin. Bu adımlarla ilgili diğer ayrıntılar için Azure İzleyici Belgeleri'ne bakın. Zscaler Özel Erişim günlükleri Günlük Akış Hizmeti (LSS) aracılığıyla teslim edilir. Ayrıntılı bilgi için LSS belgelerine bakın
Günlük Alıcılarını yapılandırın. Günlük Alıcısını yapılandırırken Günlük Şablonu olarak JSON'u seçin.
zpa.conf wget -v https://aka.ms/sentinel-zscalerprivateaccess-conf -O zpa.conf yapılandırma dosyasını indirin
Azure Log Analytics aracısını yüklediğiniz sunucuda oturum açın.
zpa.conf dosyasını /etc/opt/microsoft/omsagent/workspace_id/conf/omsagent.d/ klasörüne kopyalayın.
zpa.conf dosyasını aşağıdaki gibi düzenleyin:
a. Zscaler Günlük Alıcılarınızı günlükleri iletecek şekilde ayarladığınız bağlantı noktasını belirtin (4. satır)
b. zpa.conf varsayılan olarak 22033 numaralı bağlantı noktasını kullanır. Bu bağlantı noktasının sunucunuzdaki başka bir kaynak tarafından kullanılmadığından emin olun
c. zpa.conf için varsayılan bağlantı noktasını değiştirmek istiyorsanız, varsayılan AMA aracı bağlantı noktalarıyla çakışmaması gerektiğine emin olun(Örneğin CEF 25226 veya 25224 NUMARALı TCP bağlantı noktasını kullanır)
d. workspace_id Çalışma Alanı Kimliğinizin gerçek değeriyle değiştirin (satır 14.15.16.19)
Aşağıdaki komutla değişiklikleri kaydedin ve Linux hizmeti için Azure Log Analytics aracısını yeniden başlatın: sudo /opt/microsoft/omsagent/bin/service_control yeniden başlatma
Sonraki adımlar
Daha fazla bilgi için Azure Market ilgili çözüme gidin.