分享方式:

透過 AMA 資料連接器進行 Syslog - 設定Microsoft Sentinel 數據擷取的特定設備或裝置

  • 文章

Syslog 透過 Microsoft Sentinel 中的 AMA 資料連接器,支援來自許多安全性設備和裝置的記錄收集。 本文列出提供者針對使用此數據連接器的特定安全性應用裝置和裝置所提供的安裝指示。 請連絡提供者以取得更新、更多資訊,或您的安全性設備或裝置無法使用資訊的位置。

若要將數據轉送至 Log Analytics 工作區,Microsoft Sentinel,請完成使用 Azure 監視器代理程式將 syslog 和 CEF 訊息內嵌至 Microsoft Sentinel 中的步驟。 當您完成這些步驟時,請在 Microsoft Sentinel 中透過 AMA 資料連接器安裝 Syslog。 然後,使用本文中適當的提供者指示來完成設定。

如需這些設備或裝置之相關Microsoft Sentinel 解決方案的詳細資訊,請搜尋 Azure Marketplace 以取得產品類型>解決方案範本,或從 Microsoft Sentinel 中的內容中樞檢閱解決方案。

Barracuda CloudGen Firewall

依照指示來設定 syslog 串流。 使用 Linux 電腦的 IP 位址或主機名,並針對目的地 IP 位址安裝Microsoft Sentinel 代理程式。

Blackberry CylancePROTECT

請遵循這些指示 ,將 CylancePROTECT 設定為轉寄 syslog。 使用 Linux 裝置的 IP 位址或主機名,並將 Linux 代理程式安裝為 目的地 IP 位址。

Cisco 應用程式中心基礎結構 (ACI)

設定 Cisco ACI 系統,透過 syslog 將記錄傳送至安裝代理程式的遠端伺服器。 請遵循下列步驟 來設定 Syslog 目的地目的地群組Syslog 來源

此數據連接器是使用 Cisco ACI 1.x 版所開發。

Cisco Identity Services Engine (ISE)

請遵循這些指示設定您 Cisco ISE 部署中的遠端 Syslog 收集位置。

Cisco 隱形手錶

完成下列設定步驟,以取得 Cisco Stealthwatch 記錄到 sentinel Microsoft。

  1. 以系統管理員身分登入隱形監看式管理主控台 (SMC)。

  2. 在功能表欄中,選取 [ 設定>回應管理]。

  3. 從 [回應管理] 功能表中的 [動作] 區段,選取 [新增 > Syslog 訊息]。

  4. 在 [ 新增 Syslog 訊息動作 ] 視窗中,設定參數。

  5. 輸入下列自訂格式:

    |Lancope|Stealthwatch|7.3|{alarm_type_id}|0x7C|src={source_ip}|dst={target_ip}|dstPort={port}|proto={protocol}|msg={alarm_type_description}|fullmessage={details}|start={start_active_time}|end={end_active_time}|cat={alarm_category_name}|alarmID={alarm_id}|sourceHG={source_host_group_names}|targetHG={target_host_group_names}|sourceHostSnapshot={source_url}|targetHostSnapshot={target_url}|flowCollectorName={device_name}|flowCollectorIP={device_ip}|domain={domain_name}|exporterName={exporter_hostname}|exporterIPAddress={exporter_ip}|exporterInfo={exporter_label}|targetUser={target_username}|targetHostname={target_hostname}|sourceUser={source_username}|alarmStatus={alarm_status}|alarmSev={alarm_severity_name}

  6. 從清單中選取自定義格式,然後 選取 [確定]。

  7. 選取 [ 回應管理 > 規則]。

  8. 選取 [新增] 和 [主機警示]。

  9. 在 [名稱] 欄位中提供規則名稱。

  10. [類型 ] 和 [選項 ] 選單選取值,以建立規則。 若要新增更多規則,請選取省略號圖示。 針對主機警示,請儘可能結合語句中的可能類型。

此數據連接器是使用 Cisco Stealthwatch 7.3.2 版開發

Cisco Unified Computing Systems (UCS)

請依照下列指示將 Cisco UCS 設定為轉寄 syslog。 使用 Linux 裝置的 IP 位址或主機名,並將 Linux 代理程式安裝為 目的地 IP 位址。

注意

此數據連接器的功能相依於 Kusto 函式型剖析器,這是其作業不可或缺的一部分。 此剖析器會部署為解決方案安裝的一部分。

更新剖析器,並指定在剖析器第二行傳輸記錄的來源機器主機名。

若要存取 Log Analytics 內的函式程式代碼,請流覽至 Log Analytics/Microsoft Sentinel Logs 區段,選取 [函式],然後搜尋別名 CiscoUCS。 或者,直接載入函式程序 代碼。 安裝後可能需要大約15分鐘的時間才能更新。

Cisco Web Security Appliance (WSA)

將 Cisco 設定為透過 syslog 將記錄轉送至安裝代理程式的遠端伺服器。 請遵循下列步驟 ,設定 Cisco WSA 透過 Syslog 轉送記錄

選取 [Syslog Push ] 作為 [擷取方法]。

此數據連接器是使用 AsyncOS 14.0 for Cisco Web Security Appliance 所開發

Citrix 應用程式傳遞控制器 (ADC)

設定 Citrix ADC (前 NetScaler) 以透過 Syslog 轉送記錄。

  1. 流覽至 [設定] > 索引標籤 [系統>稽核 > Syslog 伺服器] 索引標籤>
  2. 指定 Syslog 動作名稱
  3. 設定遠端 Syslog 伺服器和埠的 IP 位址。
  4. 根據您的遠端 syslog 伺服器組態,將傳輸類型設定為 TCPUDP
  5. 如需詳細資訊,請參閱 Citrix ADC (先前的 NetScaler) 檔

注意

此數據連接器的功能相依於 Kusto 函式型剖析器,這是其作業不可或缺的一部分。 此剖析器會部署為解決方案安裝的一部分。 若要存取 Log Analytics 內的函式程式代碼,請流覽至 Log Analytics/Microsoft Sentinel Logs 區段,選取 [函式],然後搜尋別名 CitrixADCEvent。 或者,您可以直接載入函 式程序代碼。 安裝後可能需要大約15分鐘的時間才能更新。

此剖析器需要名為 Sources_by_SourceType的監看清單。

i. 如果您尚未建立監看清單,請在 Azure 入口網站 中從Microsoft Sentinel 建立監看清單。

ii. 開啟關注清單 Sources_by_SourceType 並新增項目至此資料來源。

ii. CitrixADC 的 SourceType 值是 CitrixADC。 如需詳細資訊,請參閱 管理進階安全性資訊模型 (ASIM) 剖析器

Digital Guardian 資料外洩防護

完成下列步驟,將 Digital Guardian 設定為透過 Syslog 轉寄記錄:

  1. 登入 Digital Guardian Management Console。
  2. 選取 [工作區]>[資料匯出]>[建立匯出]。
  3. 從 [資料來源] 清單中,選取 [警示] 或 [事件] 作為資料來源。
  4. 從 [匯出類型] 列表中,選取 [Syslog]
  5. 從 [ 類型] 清單中,選取 [UDP] 或 [ TCP ] 作為傳輸通訊協定。
  6. 在 [ 伺服器 ] 欄位中,輸入遠端 syslog 伺服器的 IP 位址。
  7. 在 [ ] 欄位中,輸入 514 (如果您的 syslog 伺服器已設定為使用非預設埠,則輸入其他埠)。
  8. 從 [嚴重性層級] 清單中,選取嚴重性層級。
  9. 選取 [為使用中] 核取方塊。
  10. 選取 [下一步]。
  11. 從可用欄位清單中,新增資料匯出的 [警示] 或 [事件] 欄位。
  12. 選取數據匯出中欄位的 [準則] 和 [ 下一步]。
  13. 選取準則和 [下一步] 的群組。
  14. 選取 [ 測試查詢]。
  15. 選取 [下一步]。
  16. 儲存資料匯出。

ESET Protect 整合

設定 ESET PROTECT,以透過 Syslog 傳送所有事件。

  1. 請遵循這些指示,以設定 syslog 輸出。 請務必選取 BSD 作為格式,並選取 TCP 作為傳輸。
  2. 請依照這些指示,將所有記錄匯出至 syslog。 選取 [JSON] 作為輸出格式。

Exabeam 進階分析

遵循下列指示,透過 syslog 傳送 Exabeam Advanced Analytics 活動記錄資料。

此資料連接器是使用 Exabeam Advanced Analytics i54 開發 (Syslog)

Forescout

完成下列步驟,以取得 Forescout 記錄到 sentinel Microsoft。

  1. 選取要設定的設備
  2. 遵循這些指示,將警示從 Forescout 平台轉送至 syslog 伺服器。
  3. [Syslog 觸發程式] 索引標籤設定設定。

此數據連接器是使用Forescout Syslog 外掛程式版本開發:v3.6

Gitlab

請遵循這些指示 ,透過 syslog 傳送 Gitlab 稽核記錄數據。

ISC Bind

  1. 請遵循下列指示來設定 ISC 系結至轉寄 syslog: DNS 記錄
  2. 設定 syslog 將 syslog 流量傳送至代理程式。 使用 Linux 裝置的 IP 位址或主機名,並將 Linux 代理程式安裝為 目的地 IP 位址。

Infoblox 網路識別作業系統 (NIOS)

請遵循這些指示,以啟用 Infoblox NIOS 記錄的 syslog 轉送。 使用 Linux 裝置的 IP 位址或主機名,並將 Linux 代理程式安裝為 目的地 IP 位址。

注意

此數據連接器的功能相依於 Kusto 函式型剖析器,這是其作業不可或缺的一部分。 此剖析器會部署為解決方案安裝的一部分。

若要存取 Log Analytics 內的函式程式代碼,請流覽至 Log Analytics/Microsoft Sentinel Logs 區段,選取 [函式],然後搜尋別名 Infoblox。 或者,您可以直接載入函 式程序代碼。 安裝後可能需要大約15分鐘的時間才能更新。

此剖析器需要名為 Sources_by_SourceType的監看清單。

i. 如果您尚未建立監看清單,請在 Azure 入口網站從Microsoft Sentinel 建立監看清單。

ii. 開啟關注清單 Sources_by_SourceType 並新增項目至此資料來源。

ii. InfobloxNIOS 的 SourceType 值是 InfobloxNIOS

如需詳細資訊,請參閱 管理進階安全性資訊模型 (ASIM) 剖析器

Ivanti Unified Endpoint Management

遵循指示 設定警示動作,以將記錄傳送至 syslog 伺服器。

此數據連接器是使用 Ivanti Unified Endpoint Management Release 2021.1 Version 11.0.3.374 開發

Juniper SRX

  1. 完成下列指示,將 Juniper SRX 設定為轉寄 syslog:

  2. 使用 Linux 裝置的 IP 位址或主機名,並將 Linux 代理程式安裝為 目的地 IP 位址。

McAfee Network Security Platform

完成下列設定步驟,以取得McAfee®網路安全性平台記錄到sentinel Microsoft。

  1. 將警示從管理員轉送至 syslog 伺服器。

  2. 您必須新增 syslog 通知設定檔。 建立設定檔時,若要確定事件已正確格式化,請在 [訊息] 文字盒中輸入下列文字:

    <SyslogAlertForwarderNSP>:|SENSOR_ALERT_UUID|ALERT_TYPE|ATTACK_TIME|ATTACK_NAME|ATTACK_ID |ATTACK_SEVERITY|ATTACK_SIGNATURE|ATTACK_CONFIDENCE|ADMIN_DOMAIN|SENSOR_NAME|INTERFACE |SOURCE_IP|SOURCE_PORT|DESTINATION_IP|DESTINATION_PORT|CATEGORY|SUB_CATEGORY |DIRECTION|RESULT_STATUS|DETECTION_MECHANISM|APPLICATION_PROTOCOL|NETWORK_PROTOCOL|

此數據連接器是使用McAfee®網路安全性平臺版本:10.1.x 所開發。

McAfee ePolicy Orchestrator

請連絡提供者以取得如何註冊 syslog 伺服器的指引。

Microsoft Sysmon For Linux

此數據連接器取決於以 Kusto Functions 為基礎的 ASIM 剖析器,才能如預期般運作。 部署剖析器

已部署下列函式:

  • vimFileEventLinuxSysmonFileCreated, vimFileEventLinuxSysmonFileDeleted
  • vimProcessCreateLinuxSysmon、 vimProcessTerminateLinuxSysmon
  • vimNetworkSessionLinuxSysmon

閱讀更多資訊

Nasuni

請遵循 Nasuni 管理控制台指南中的指示,將 Nasuni Edge 設備設定為轉送 syslog 事件。 在 syslog 設定的 [伺服器設定] 欄位中,使用執行 Azure 監視器代理程式的 Linux 裝置 IP 位址或主機名。

OpenVPN

在轉送 OpenVPN 的伺服器上安裝代理程式。 OpenVPN 伺服器記錄會寫入一般 syslog 檔案(視使用的 Linux 發行版而定:例如 /var/log/messages)。

Oracle Database 稽核

完成下列步驟。

  1. 建立 Oracle 資料庫 遵循下列步驟。
  2. 登入您所建立的 Oracle 資料庫。 請遵循下列步驟
  3. 藉由改變系統來啟用統一記錄,以啟用統一記錄,請遵循下列步驟
  4. 建立並啟用統一稽核的稽核策略,請遵循下列步驟
  5. 啟用統一稽核記錄的 syslog 和 事件檢視器 擷取,請遵循下列步驟

Pulse Connect Secure

請遵循指示 來啟用 Pulse Connect 安全記錄的 syslog 串流。 使用 Linux 裝置的 IP 位址或主機名,並將 Linux 代理程式安裝為 目的地 IP 位址。

注意

此數據連接器的功能相依於 Kusto 函式型剖析器,這是其作業不可或缺的一部分。 此剖析器會部署為解決方案安裝的一部分。

更新剖析器,並指定在剖析器第二行傳輸記錄的來源機器主機名。

若要存取 Log Analytics 內的函式程式代碼,請流覽至 Log Analytics/Microsoft Sentinel Logs 區段,選取 [函式],然後搜尋別名 PulseConnectSecure。 或者,直接載入函式程序 代碼。 安裝後可能需要大約15分鐘的時間才能更新。

RSA SecurID

完成下列步驟,以取得 RSA® SecurID Authentication Manager 記錄到 sentinel Microsoft。 請遵循這些指示 ,將警示從管理員轉送至 syslog 伺服器。

注意

此數據連接器的功能相依於 Kusto 函式型剖析器,這是其作業不可或缺的一部分。 此剖析器會部署為解決方案安裝的一部分。

更新剖析器,並指定在剖析器第二行傳輸記錄的來源機器主機名。

若要存取 Log Analytics 內的函式程式代碼,請流覽至 Log Analytics/Microsoft Sentinel Logs 區段,選取 [函式],然後搜尋別名 RSASecurIDAMEvent。 或者,您可以直接載入函 式程序代碼。 安裝後可能需要大約15分鐘的時間才能更新。

此數據連接器是使用 RSA SecurID Authentication Manager 版本開發:8.4 和 8.5

Sophos XG 防火牆

請遵循這些指示 來啟用 syslog 串流。 使用 Linux 裝置的 IP 位址或主機名,並將 Linux 代理程式安裝為 目的地 IP 位址。

注意

此數據連接器的功能相依於 Kusto 函式型剖析器,這是其作業不可或缺的一部分。 此剖析器會部署為解決方案安裝的一部分。

更新剖析器,並指定在剖析器第二行傳輸記錄的來源機器主機名。 若要存取 Log Analytics 內的函式程式代碼,請流覽至 Log Analytics/Microsoft Sentinel Logs 區段,選取 [函式],然後搜尋別名 SophosXGFirewall。 或者,直接載入函式程序 代碼。 安裝後可能需要大約15分鐘的時間才能更新。

Symantec Endpoint Protection

請遵循這些指示 ,將 Symantec Endpoint Protection 設定為轉寄 syslog。 使用 Linux 裝置的 IP 位址或主機名,並將 Linux 代理程式安裝為 目的地 IP 位址。

注意

此數據連接器的功能相依於 Kusto 函式型剖析器,這是其作業不可或缺的一部分。 此剖析器會部署為解決方案安裝的一部分。

更新剖析器,並指定在剖析器第二行傳輸記錄的來源機器主機名。 若要存取 Log Analytics 內的函式程式代碼,請流覽至 Log Analytics/Microsoft Sentinel Logs 區段,選取 [函式],然後搜尋別名 SymantecEndpointProtection。 或者,您可以直接載入函 式程序代碼。 安裝後可能需要大約15分鐘的時間才能更新。

Symantec ProxySG

  1. 登入 Blue Coat 管理控制台。

  2. 選取 [組態>存取記錄>格式]。

  3. 選取新增

  4. 在 [ 格式名稱 ] 欄位中輸入唯一的名稱。

  5. 選取 [自定義格式字串] 的單選按鈕,然後將下列字元串貼到欄位中。

    1 $(date) $(time) $(time-taken) $(c-ip) $(cs-userdn) $(cs-auth-groups) $(x-exception-id) $(sc-filter-result) $(cs-categories) $(quot)$(cs(Referer))$(quot) $(sc-status) $(s-action) $(cs-method) $(quot)$(rs(Content-Type))$(quot) $(cs-uri-scheme) $(cs-host) $(cs-uri-port) $(cs-uri-path) $(cs-uri-query) $(cs-uri-extension) $(quot)$(cs(User-Agent))$(quot) $(s-ip) $(sr-bytes) $(rs-bytes) $(x-virus-id) $(x-bluecoat-application-name) $(x-bluecoat-application-operation) $(cs-uri-port) $(x-cs-client-ip-country) $(cs-threat-risk)

  6. 選取 [確定]。

  7. 選取 [ 套用n]。

  8. 請遵循這些指示來啟用存取記錄的 syslog 串流。 使用 Linux 裝置的 IP 位址或主機名,並安裝為目的地 IP 位址的 Linux 代理程式

注意

此數據連接器的功能相依於 Kusto 函式型剖析器,這是其作業不可或缺的一部分。 此剖析器會部署為解決方案安裝的一部分。

更新剖析器,並指定在剖析器第二行傳輸記錄的來源機器主機名。

若要存取 Log Analytics 內的函式程式代碼,請流覽至 Log Analytics/Microsoft Sentinel Logs 區段,選取 [函式],然後搜尋別名 SymantecProxySG。 或者,直接載入函式程序 代碼。 安裝後可能需要大約15分鐘的時間才能更新。

Symantec VIP

請遵循這些指示 ,將 Symantec VIP Enterprise Gateway 設定為轉寄 syslog。 使用 Linux 裝置的 IP 位址或主機名,並將 Linux 代理程式安裝為 目的地 IP 位址。

注意

此數據連接器的功能相依於 Kusto 函式型剖析器,這是其作業不可或缺的一部分。 此剖析器會部署為解決方案安裝的一部分。

更新剖析器,並指定在剖析器第二行傳輸記錄的來源機器主機名。

若要存取 Log Analytics 內的函式程式代碼,請流覽至 Log Analytics/Microsoft Sentinel Logs 區段,選取 [函式],然後搜尋別名 SymantecVIP。 或者,直接載入函式程序 代碼。 安裝後可能需要大約15分鐘的時間才能更新。

VMware ESXi

  1. 請遵循下列指示來設定 VMware ESXi 以轉送 syslog:

  2. 使用 Linux 裝置的 IP 位址或主機名,並將 Linux 代理程式安裝為 目的地 IP 位址。

注意

此數據連接器的功能相依於 Kusto 函式型剖析器,這是其作業不可或缺的一部分。 此剖析器會部署為解決方案安裝的一部分。

更新剖析器,並指定在剖析器第二行傳輸記錄的來源機器主機名。

若要存取 Log Analytics 內的函式程式代碼,請流覽至 Log Analytics/Microsoft Sentinel Logs 區段,選取 [函式],然後搜尋別名 VMwareESXi。 或者,直接載入函式程序 代碼。 安裝後可能需要大約15分鐘的時間才能更新。

WatchGuard Firebox

請遵循這些指示 ,透過 syslog 傳送 WatchGuard Firebox 記錄數據。

相關內容