Поделиться через


Соединитель Elastic Agent (автономный) для Microsoft Sentinel

Соединитель данных elastic Agent предоставляет возможность приема журналов эластичных агентов , метрик и данных безопасности в Microsoft Sentinel.

Это автоматически сформированное содержимое. Для изменений обратитесь к поставщику решений.

атрибуты Подключение or

Атрибут соединителя Description
Таблицы Log Analytics ElasticAgentLogs_CL
Поддержка правил сбора данных В настоящий момент не поддерживается
Поддерживается Корпорация Майкрософт

Примеры запросов

Первые 10 устройств

ElasticAgentEvent

| summarize count() by DvcIpAddr

| top 10 by count_

Необходимые компоненты

Чтобы интегрироваться с эластичным агентом (автономный) убедитесь, что у вас есть:

  • Включите настраиваемые предварительные требования, если для подключения требуется - в противном случае удалите таможни: описание любого пользовательского предварительного требования

Инструкции по установке поставщика

Примечание.

Этот соединитель данных зависит от средства синтаксического анализа на основе функции Kusto для работы, как ожидалось , ElasticAgentEvent , развернутой с помощью решения Microsoft Sentinel.

Примечание.

Этот соединитель данных разработан с помощью эластичного агента 7.14.

  1. Установка и подключение агента для Linux или Windows

Установите агент на сервере, на котором перенаправляются журналы эластичного агента.

Журналы из эластичных агентов, развернутых на серверах Linux или Windows, собираются агентами Linux или Windows .

  1. Настройка эластичного агента (автономный)

Следуйте инструкциям по настройке эластичного агента для вывода в Logstash

  1. Настройка Logstash для использования подключаемого модуля вывода Microsoft Logstash

Выполните действия, чтобы настроить Logstash для использования подключаемого модуля microsoft-logstash-output-azure-loganalytics:

3.1) Проверьте, установлен ли подключаемый модуль:

Список подключаемых модулей ./logstash-plugin | grep "azure-loganalytics" (если подключаемый модуль установлен на шаге 3.3)

3.2) Установите подключаемый модуль:

./logstash-plugin install microsoft-logstash-output-azure-loganalytics

3.3) Настройка Logstash для использования подключаемого модуля

  1. Проверка приема журналов

Следуйте инструкциям, чтобы проверить подключение:

Откройте Log Analytics, чтобы проверка, если журналы получены с помощью пользовательской таблицы, указанной на шаге 3.3 (например, ElasticAgentLogs_CL).

Это может занять около 30 минут, пока данные подключения не передаются в рабочую область.

Следующие шаги

Дополнительные сведения см. в связанном решении в Azure Marketplace.