透過 AMA 資料連接器 CEF - 設定特定裝置或裝置以Microsoft Sentinel 資料擷取

Microsoft Sentinel 中的 Common Event Format （CEF） 透過 AMA 資料連接器支援來自許多安全性設備和裝置的記錄收集。 本文列出提供者針對使用此數據連接器的特定安全性應用裝置和裝置所提供的安裝指示。 請連絡提供者以取得更新、更多資訊，或您的安全性設備或裝置無法使用資訊的位置。

若要將數據轉送至 Log Analytics 工作區，Microsoft Sentinel，請完成使用 Azure 監視器代理程式將 syslog 和 CEF 訊息內嵌至 Microsoft Sentinel 中的步驟。 當您完成這些步驟時，請在 Microsoft sentinel 中透過 AMA 資料連接器安裝 Common Event Format （CEF）。 然後，使用本文中適當的提供者指示來完成設定。

如需這些設備或裝置之相關Microsoft Sentinel 解決方案的詳細資訊，請搜尋 Azure Marketplace 以取得產品類型>解決方案範本，或從 Microsoft Sentinel 中的內容中樞檢閱解決方案。

AI 分析師深色追蹤

設定 Darktrace 透過 syslog 代理程式，將 CEF 格式的 syslog 訊息轉送至您的 Azure 工作區。

1. 在 [深色追蹤威脅可視化檢視] 中，流覽至 [系統設定 ] 頁面主功能表中 的 [系統管理員]。
2. 從左側功能表中，選取 [模組 ]，然後從可用的 [工作流程整合] 中選擇 [Microsoft Sentinel]。
3. 找出 Microsoft Sentinel syslog CEF，然後選取 [ 新增 ] 以顯示組態設定，除非已經公開。
4. 在 [ 伺服器 組態] 字段中，輸入記錄轉寄站的位置，並選擇性地修改通訊埠。 請確定選取的連接埠已設定為 514，而且由任何中繼防火牆允許。
5. 視需要設定任何警示閾值、時間位移或其他設定。
6. 檢閱您可能想要啟用的任何其他組態選項，以改變 syslog 語法。
7. 啟用 [ 傳送警示 ] 並儲存您的變更。

Akamai 安全性事件

請遵循下列步驟 來設定 Akamai CEF 連接器，以 CEF 格式將 syslog 訊息傳送至 Proxy 計算機。 請務必將記錄傳送至機器 IP 位址上的連接埠 514 TCP。

AristaAwakeSecurity

完成下列步驟，將 Awake Adversarial 模型比對結果轉送至接聽 IP 192.168.0.1 TCP 連接埠 514 的 CEF 收集器：

1. 流覽至 [喚醒 UI] 中的 [偵測管理技能] 頁面。
2. 選取 [+ 新增技能]。
3. 將表達式設定為integrations.cef.tcp { destination: "192.168.0.1", port: 514, secure: false, severity: Warning }
4. 將 [標題] 設定為描述性名稱，例如[正向反面模型] 比對結果，以Microsoft Sentinel。
5. 將參考標識符設定為容易探索到的內容，例如 integrations.cef.sentinel-forwarder。
6. 選取 [儲存]。

在儲存定義和其他欄位的幾分鐘內，系統會在偵測到新模型比對結果時，開始將新的模型比對結果傳送至 CEF 事件收集器。

如需詳細資訊，請參閱從喚醒 UI 中的說明檔新增安全性資訊和事件管理推送整合頁面。

Aruba ClearPass

將阿路巴 ClearPass 設定為透過 syslog 代理程式將 CEF 格式的 syslog 訊息轉送至您的 Microsoft Sentinel 工作區。

1. 請依照下列指示，將 Aruba ClearPass 設定為轉寄 syslog。
2. 使用 Linux 裝置的 IP 位址或主機名，並將 Linux 代理程式安裝為 目的地 IP 位址。

Barracuda WAF

Barracuda Web 應用程式防火牆 可以透過 Azure 監視代理程式 （AMA） 直接與 Microsoft Sentinel 整合和導出記錄。

1. 移至 Barracuda WAF 組態，並使用下列參數來設定連線，並遵循指示。

2. Web 防火牆記錄功能：移至工作區和 [數據>Syslog] 索引卷標上的進階設定。 請確定設施存在。

請注意，來自所有區域的數據會儲存在選取的工作區中。

Broadcom SymantecDLP

將 Symantec DLP 設定為透過 syslog 代理程式將 CEF 格式的 syslog 訊息轉送至您的 Microsoft Sentinel 工作區。

1. 請依照下列指示設定 Symantec DLP，以轉送 syslog
2. 使用 Linux 裝置的 IP 位址或主機名，並將 Linux 代理程式安裝為 目的地 IP 位址。

Cisco Firepower EStreamer

安裝及設定 Firepower eNcore eStreamer 用戶端。 如需詳細資訊，請參閱完整安裝 指南。

CiscoSEG

完成下列步驟，以設定 Cisco Secure Email Gateway 透過 syslog 轉寄記錄：

1. 設定 記錄訂閱。
2. 選取 [ 記錄類型] 欄位中的 [合併事件 記錄]。

Citrix Web 應用程式防火牆

設定 Citrix WAF 將 CEF 格式的 syslog 訊息傳送至 Proxy 計算機。

• 尋找從 Citrix 支援設定 WAF 和 CEF 記錄的指南。

• 請遵循 本指南 ，將記錄轉送至 Proxy。 請務必將記錄傳送至 Linux 機器 IP 位址上的連接埠 514 TCP。

Claroty

使用 CEF 設定記錄轉送。

1. 瀏覽至 [設定] 功能表的 [Syslog] 區段。
2. 選取 [+新增] 。
3. 在 [新增 Syslog] 對話框中，指定遠端伺服器 IP、埠、通訊協定。
4. 選取 [訊息格式 - CEF]。
5. 選擇 [儲存]，結束 [新增 Syslog] 對話方塊。

Contrast Protect

設定 Contrast Protect 代理程式以將事件轉送至 syslog，如這裡所述：https://docs.contrastsecurity.com/en/output-to-syslog.html。 針對您的應用程式產生一些攻擊事件。

CrowdStrike Falcon

部署 CrowdStrike Falcon SIEM 收集器，以 CEF 格式將 syslog 訊息轉送至您的 Microsoft Sentinel 工作區，透過 syslog 代理程式。

1. 請遵循這些指示 來 部署 SIEM 收集器 ，並轉寄 syslog。
2. 使用 Linux 裝置的 IP 位址或主機名稱，並將 Linux 代理程式安裝為目的地 IP 位址。

CyberArk Enterprise Password Vault （EPV） 事件

在EPV上，將dbparm.ini設定為將CEF格式的 syslog 訊息傳送至 Proxy 計算機。 請務必將記錄傳送至機器 IP 位址上的連接埠 514 TCP。

Delinea Secret Server

設定您的安全性解決方案，以 CEF 格式將 syslog 訊息傳送至 Proxy 計算機。 請務必將記錄傳送至機器 IP 位址上的連接埠 514 TCP。

ExtraHop Reveal(x)

設定您的安全性解決方案，以 CEF 格式將 syslog 訊息傳送至 Proxy 計算機。 請務必將記錄傳送至機器 IP 位址上的連接埠 514 TCP。

1. 請遵循指示，在您的 Reveal(x) 系統上安裝 ExtraHop Detection SIEM 連接器套件組合。 此整合需要 SIEM 連接器。
2. 啟用 ExtraHop 偵測 SIEM 連接器 - CEF 的觸發程式。
3. 使用您所建立的 ODS syslog 目標更新觸發程式。 

Reveal(x) 系統會以常見事件格式 (CEF) 將 syslog 訊息格式化，然後將數據傳送至 Microsoft Sentinel。

F5 網路

將 F5 設定為透過 syslog 代理程式將 CEF 格式的 syslog 訊息轉送至您的 Microsoft Sentinel 工作區。

前往 F5 設定應用程式安全性事件記錄，並遵循指示以使用下列指導方針來設定遠端記錄：

1. 將 [ 遠端儲存類型 ] 設定為 CEF。
2. 將 [ 通訊協定] 設定 設為 UDP。
3. 將 IP位址 設定為 syslog 伺服器 IP 位址。
4. 將 埠號碼 設定為 514，或代理程式所使用的埠。
5. 將 設備 設定為您在 syslog 代理程式中設定的設施。 根據預設，代理程式會將此值設定為 local4。
6. 您可以將 [查詢字串大小上限] 設定為與您的組態相同。

FireEye 網路安全性

完成下列步驟以使用 CEF 傳送資料：

1. 使用系統管理員帳戶登入 FireEye 設備。

2. 選取設定。

3. 選取通知。 選取 [rsyslog]。

4. 核取 [ 事件類型 ] 複選框。

5. 確定 Rsyslog 設定如下：

   • 預設格式： CEF
   • 默認傳遞： 每個事件
   • 默認傳送為： 警示

Forcepoint CASB

設定您的安全性解決方案，以 CEF 格式將 syslog 訊息傳送至 Proxy 計算機。 請務必將記錄傳送至機器 IP 位址上的連接埠 514 TCP。

Forcepoint CSG

整合提供兩個實作選項：

1. 使用 Docker 映像，其中整合元件已經隨所有必要的相依性一起安裝。 遵循整合指南中提供的指示。
2. 需要在全新 Linux 機器內手動部署整合元件。 遵循整合指南中提供的指示。

Forcepoint NGFW

設定您的安全性解決方案，以 CEF 格式將 syslog 訊息傳送至 Proxy 計算機。 請務必將記錄傳送至機器 IP 位址上的連接埠 514 TCP。

CEF 的 ForgeRock 常見稽核

在 ForgeRock 中，根據 位於 的文件 https://github.com/javaservlets/SentinelAuditEventHandler，針對 Microsoft Sentinel 安裝並設定此通用稽核 （CAUD）。 接下來，在 Azure 中，遵循透過 AMA 資料連接器設定 CEF 的步驟。

iboss

將威脅主控台設定為將 CEF 格式的 syslog 訊息傳送至 Azure 工作區。 記下 Log Analytics 工作區內的工作區標識碼 和 主鍵 。 從 Azure 入口網站的 [Log Analytics 工作區] 功能表中選取工作區。 然後在 [設定] 區段中選取 [代理程式管理]。

1. 流覽至 iboss 控制台內的 Reporting & Analytics 。
2. 從記者選取 [記錄轉送>]。
3. 選取 [動作>][新增服務]。
4. 切換至 Microsoft Sentinel 即 服務類型 ，並輸入工作區 標識碼/主鍵 以及其他準則。 如果已設定專用 Proxy Linux 計算機，請切換至 [Syslog 即 服務類型 ]，並設定設定以指向專用 Proxy Linux 機器的設定。
5. 等候一到兩分鐘，設定完成。
6. 選取您的Microsoft Sentinel 服務，並確認Microsoft Sentinel 設定狀態是否成功。 如果已設定專用 Proxy Linux 計算機，您可能會驗證連線。

Illumio Core

設定事件格式。

1. 從 PCE Web 主控台功能表，選擇 [設定] > [事件設定] 來檢視目前的設定。
2. 選取 [ 編輯 ] 以變更設定。
3. 將 [事件格式] 設定為 CEF。
4. (選擇性) 設定 [事件嚴重性] 和 [保留期間]。

設定事件轉送至外部 syslog 伺服器。

1. 從 PCE Web 控制台選單中，選擇 [設定>事件設定]。
2. 選取 [新增]。
3. 選取 [新增存放庫]。
4. 完成 [新增存放庫] 對話方塊。
5. 選取 [ 確定 ] 以儲存事件轉送組態。

Illusive Platform

1. 設定您的安全性解決方案，以 CEF 格式將 syslog 訊息傳送至 Proxy 計算機。 請務必將記錄傳送至機器 IP 位址上的連接埠 514 TCP。

2. 登入 Illusive 控制台，然後流覽至 [設定>報告]。

3. 尋找 Syslog 伺服器。

4. 請提供下列資訊：

   • 主機名： Linux Syslog 代理程式 IP 位址或 FQDN 主機名
   • 埠： 514
   • 通訊協定：TCP
   • 稽核訊息： 將稽核訊息傳送至伺服器

5. 若要新增 syslog 伺服器，請選取 [ 新增]。

如需如何在 Illusive 平臺中新增 syslog 伺服器的詳細資訊，請參閱這裡的 Illusive Networks 系統管理指南： https://support.illusivenetworks.com/hc/en-us/sections/360002292119-Documentation-by-Version

Imperva WAF 閘道

此連接器需要在 Imperva SecureSphere MX 上建立動作介面 和 動作集 。 請遵循步驟 來建立需求。

1. 建立新的 動作介面 ，其中包含將WAF警示傳送至 sentinel Microsoft的必要參數。
2. 建立使用已設定動作介面的新動作集。
3. 將 [動作集] 套用至您想要將警示傳送至 Microsoft Sentinel 的任何安全策略。

Infoblox Cloud Data Connector

完成下列步驟，設定 Infoblox CDC 以透過 Linux syslog 代理程式將 BloxOne 資料傳送至 Microsoft Sentinel。

1. 流覽至 [管理>數據連接器]。
2. 選取頂端的 [ 目的地組態 ] 索引標籤。
3. 選取 [ 建立 > Syslog]。
   • 名稱：為新的目的地指定有意義的名稱，例如 Microsoft-Sentinel-Destination。
   • 描述：選擇性地為它提供有意義的描述。
   • 狀態：將狀態設定為 [已啟用]。
   • 格式：將格式設定為 [CEF]。
   • FQDN/IP：輸入安裝 Linux 代理程式的 Linux 裝置 IP 位址。
   • 連接埠：將連接埠號碼保留為 514。
   • 通訊協定：如果適用，請選取所需的通訊協定和 CA 憑證。
   • 選取儲存後關閉。
4. 選取頂端的 [ 流量設定 ] 索引標籤。
5. 選取 建立。
   • 名稱：為新的流量提供有意義的名稱，例如 Microsoft-Sentinel-Flow。
   • 描述：選擇性地為它提供有意義的描述。
   • 狀態：將狀態設定為 [已啟用]。
   • 展開 [ 服務實例] 區段。
     • 服務實例：選取已啟用數據連接器服務所需的服務實例。
   • 展開 [來源組態] 區段。
     • 來源：選取 [BloxOne 雲端來源]。
     • 選取您要收集的所有所需記錄類型。 目前支援的記錄類型如下：
       • 威脅防禦查詢/回應記錄
       • 威脅防禦威脅摘要命中記錄
       • DDI 查詢/回應記錄
       • DDI DHCP 租用記錄
   • 展開 [目的地組態] 區段。
     • 選取您建立的目的地。
   • 選取儲存後關閉。
6. 允取組態有些時間來啟用。

Infoblox SOC Insights

完成下列步驟，設定 Infoblox CDC 以透過 Linux syslog 代理程式將 BloxOne 資料傳送至 Microsoft Sentinel。

1. 瀏覽至 [管理] > [資料連接器]。
2. 選取頂端的 [ 目的地組態 ] 索引標籤。
3. 選取 [ 建立 > Syslog]。
   • 名稱：為新的目的地指定有意義的名稱，例如 Microsoft-Sentinel-Destination。
   • 描述：選擇性地為它提供有意義的描述。
   • 狀態：將狀態設定為 [已啟用]。
   • 格式：將格式設定為 [CEF]。
   • FQDN/IP：輸入安裝 Linux 代理程式的 Linux 裝置 IP 位址。
   • 連接埠：將連接埠號碼保留為 514。
   • 通訊協定：如果適用，請選取所需的通訊協定和 CA 憑證。
   • 選取儲存後關閉。
4. 選取頂端的 [ 流量設定 ] 索引標籤。
5. 選取 建立。
   • 名稱：為新的流量提供有意義的名稱，例如 Microsoft-Sentinel-Flow。
   • 描述：選擇性地為其提供有意義的描述。
   • 狀態：將狀態設定為 [已啟用]。
   • 展開 [ 服務實例] 區段。
     • 服務實例：選取啟用數據連接器服務所需的服務實例。
   • 展開 [來源組態] 區段。
     • 來源：選取 [BloxOne 雲端來源]。
     • 選取 [ 內部通知 記錄類型]。
   • 展開 [目的地組態] 區段。
     • 選取您建立的目的地。
   • 選取儲存後關閉。
6. 允取組態有些時間來啟用。

卡巴斯基SecurityCenter

遵循指示以設定從 Kaspersky Security Center 匯出事件。

Morphisec

設定您的安全性解決方案，以 CEF 格式將 syslog 訊息傳送至 Proxy 計算機。 請務必將記錄傳送至機器 IP 位址上的連接埠 514 TCP。

Netwrix 稽核員

請遵循指示，從 Netwrix 稽核員設定事件匯出。

NozomiNetworks

完成下列步驟，以設定 Nozomi Networks 裝置，以 CEF 格式透過 syslog 傳送警示、稽核和健康情況記錄：

1. 登入守護者控制台。
2. 流覽至 [系統管理> 資料整合]。
3. 選取 [+新增] 。
4. 從下拉式清單中選取 [ 一般事件格式] [CEF]。
5. 使用適當的主機資訊建立 新的端點 。
6. 啟用 警示、 稽核記錄和 健康情況記錄 以進行傳送。

Onapsis Platform

請參閱 Onapsis 產品內說明，以設定將記錄轉送至 syslog 代理程式。

1. 移至 [設定>第三方整合>衛冕警示]，並遵循Microsoft Sentinel 的指示。

2. 請確定您的 Onapsis 控制台可以連線到安裝代理程式的 Proxy 計算機。 記錄應該使用 TCP 傳送至埠 514。

OSSEC

請遵循下列步驟來設定 OSSEC 透過 syslog 傳送警示。

帕洛阿爾托 - XDR （Cortex）

將 Palo Alto XDR （Cortex） 設定為透過 syslog 代理程式將 CEF 格式的訊息轉送至您的Microsoft Sentinel 工作區。

1. 移至 Cortex 設定和組態。
2. 選取以在 [外部應用程式] 底下新增 [新增伺服器]。
3. 然後指定名稱，並在目的地中提供 syslog 伺服器的公用 IP。
4. 提供 埠號碼 為 514。
5. 從 [設施] 欄位，從下拉式清單中選取 [FAC_SYSLOG ]。
6. 選取 [ 通訊協定 ] 作為 UDP。
7. 選取 建立。

PaloAlto-PAN-OS

將 Palo Alto Networks 設定為透過 syslog 代理程式將 CEF 格式的 syslog 訊息轉送至您的 Microsoft Sentinel 工作區。

1. 移至設定 Palo Alto Networks NGFW 以傳送 CEF 事件。

2. 移至 Palo Alto CEF 組態 和 Palo Alto 設定 Syslog 監視 步驟 2， 3， 選擇您的版本，並使用下列指導方針遵循指示：

   1. 將 Syslog 伺服器格式 設定為 BSD。
   2. 將文字複製到編輯器，並移除任何可能在貼上記錄格式之前中斷記錄格式的字元。 來自 PDF 的複製/貼上作業可能會變更文字並插入隨機字元。

深入了解

PaloAltoCDL

請依照指示 設定從 Cortex Data Lake 轉送至 syslog 伺服器的記錄。

PingFederate

請遵循下列步驟，以 CEF 格式設定 PingFederate 透過 syslog 傳送稽核記錄。

RidgeSecurity

設定 RidgeBot 將事件轉送至 syslog 伺服器，如這裡所述。 針對您的應用程式產生一些攻擊事件。

SonicWall 防火牆

將您的 SonicWall 防火牆設定為將 CEF 格式的 syslog 訊息傳送至 Proxy 計算機。 請務必將記錄傳送至機器 IP 位址上的連接埠 514 TCP。

請遵循指示。 然後確定您選取 [本機使用 4] 作為設施。 然後選取 ArcSight 作為 syslog 格式。

Trend Micro Apex One

請遵循下列步驟，以設定 Apex Central 透過 syslog 傳送警示。 在步驟 6 進行設定時，選取記錄格式 CEF。

趨勢科技 Deep Security

設定您的安全性解決方案，以 CEF 格式將 syslog 訊息傳送至 Proxy 計算機。 請務必將記錄傳送至機器IP位址上的埠 514 TCP。

1. 將 Trend Micro Deep Security 事件轉寄至 syslog 代理程式。
2. 藉由參考 此知識文章 以取得其他資訊，定義使用 CEF 格式的新 syslog 組態。
3. 設定 Deep Security Manager 以使用此新設定，使用這些 指示將事件轉送至 syslog 代理程式。
4. 請務必儲存 TrendMicroDeepSecurity 函式，以便正確查詢 Trend Micro Deep Security 數據。

Trend Micro TippingPoint

將您的 TippingPoint SMS 設定為將 ArcSight CEF 格式 v4.2 格式的 syslog 訊息傳送至 Proxy 計算機。 請務必將記錄傳送至機器 IP 位址上的連接埠 514 TCP。

vArmour 應用程式控制器

將 CEF 格式的 syslog 訊息傳送至 Proxy 計算機。 請務必將記錄傳送至機器 IP 位址上的連接埠 514 TCP。

從 https://support.varmour.com/hc/en-us/articles/360057444831-vArmour-Application-Controller-6-0-User-Guide 下載使用者指南。 在使用者指南中，請參閱「設定 Syslog 以進行監視和違規」，並遵循步驟 1 到 3。

Vectra AI 偵測

設定 Vectra （X 系列） 代理程式，以 CEF 格式將 syslog 訊息轉送至您的 Microsoft Sentinel 工作區，透過 syslog 代理程式。

從 Vectra UI，流覽至 [設定 > 通知] 和 [編輯 syslog 設定]。 請遵循下列指示來設定連線：

1. 新增目的地 （這是Microsoft Sentinel syslog 代理程序執行所在的主機）。
2. 將 [ 埠 ] 設定為 514。
3. 將 [ 通訊協定 ] 設定為 UDP。
4. 將格式設定為 CEF。
5. 設定 記錄類型。 選取所有可用的記錄類型。
6. 選取 [儲存]。
7. 選取 [ 測試] 按鈕以傳送一些測試事件。

如需詳細資訊，請參閱 Cognito Detect Syslog 指南，您可以從偵測 UI 中的資源頁面下載。

Votiro

將 Votiro 端點設定為將 CEF 格式的 syslog 訊息傳送至轉寄站電腦。 請務必將記錄傳送至轉寄站機器 IP 位址上的埠 514 TCP。

WireX 網路鑑識平臺

請連絡 WireX 支援 （https://wirexsystems.com/contact-us/） 以設定 NFP 解決方案，以 CEF 格式傳送 syslog 訊息給 Proxy 電腦。 請確定中央管理員可以將記錄傳送至機器 IP 位址上的連接埠 514 TCP。

透過連接器的WithSecure元素

將WithSecure Elements Connector設備連線到 sentinel Microsoft。 WithSecure Elements Connector 數據連接器可讓您輕鬆地將WithSecure Elements 記錄與 Microsoft Sentinel 連線，以檢視儀錶板、建立自定義警示及改善調查。

注意

數據會儲存在您執行Microsoft Sentinel 工作區的地理位置。

設定With Secure Elements Connector，透過 syslog 代理程式將 CEF 格式的 syslog 訊息轉送至 Log Analytics 工作區。

1. 選取或建立Linux計算機，讓 Microsoft Sentinel 成為WithSecurity解決方案與 Microsoft Sentinel 之間的 Proxy。 機器可以是內部部署環境、Microsoft Azure 或其他雲端式環境。 Linux 必須已安裝 syslog-ng 並 python/python3 安裝。
2. 在Linux電腦上安裝 Azure 監視代理程式 （AMA），並將機器設定為在必要的埠上接聽，並將訊息轉寄至您的 Microsoft Sentinel 工作區。 CEF 收集器會在連接埠 514 TCP 上收集 CEF 訊息。 您在機器上必須具有更高的權限 (sudo)。
3. 在WithSecure Elements入口網站中移至 EPP 。 然後流覽至 [ 下載]。 在 [ 元素連接器] 區段中，選取 [ 建立訂用帳戶密鑰]。 您可以在訂用帳戶中檢查訂用帳戶金鑰。
4. 在 [WithSecure Elements Connector] 的 [下載] 區段中，選取正確的安裝程式並加以下載。
5. 在 EPP 中時，請從右上角開啟帳戶設定。 然後選取 [ 取得管理 API 金鑰]。 如果先前已建立金鑰，也可以讀取該金鑰。
6. 若要安裝 Elements Connector，請遵循 Elements Connector Docs。
7. 如果未在安裝期間設定 API 存取，請遵循 設定 Elements Connector 的 API 存取。
8. 移至 EPP，然後 移至 [配置檔]，然後使用 [適用於連接器 ]，您可以在其中查看連接器設定檔。 建立新的配置檔（或編輯現有的非只讀配置檔）。 在 [事件轉送] 中，啟用它。 設定 SIEM 系統位址： 127.0.0.1：514。 將格式設定為 [一般事件格式]。 通訊協定為 TCP。 儲存配置檔，並將它指派給 [裝置] 索引標籤中的 [元素連接器]。
9. 若要在 Log Analytics 中使用 WithSecure Elements Connector 中的相關架構，請搜尋 CommonSecurityLog。
10. 繼續 驗證您的 CEF 連線。

Zscaler

將 Zscaler 產品設定為將 CEF 格式的 syslog 訊息傳送至您的 syslog 代理程式。 請務必在埠 514 TCP 上傳送記錄。

如需詳細資訊，請參閱 Zscaler Microsoft Sentinel 整合指南。

相關內容

• 使用 Azure 監視器代理程式將 syslog 和 CEF 訊息內嵌至 Microsoft Sentinel
• 透過 AMA 和一般事件格式 （CEF） 透過適用於 sentinel Microsoft 的 AMA 連接器進行 Syslog