CEF через соединитель данных AMA— настройка определенных (модуль) или устройства для приема данных Microsoft Sentinel

Сбор журналов со многих устройств и устройств безопасности поддерживается общим форматом событий (CEF) через соединитель данных AMA в Microsoft Sentinel. В этой статье перечислены предоставленные поставщиком инструкции по установке для конкретных устройств безопасности и устройств, использующих этот соединитель данных. Обратитесь к поставщику за обновлениями, дополнительными сведениями или сведениями о том, где сведения недоступны для (модуль) безопасности или устройства.

Чтобы принять данные в рабочую область Log Analytics для Microsoft Sentinel, выполните действия, описанные в статье Прием сообщений системного журнала и CEF, чтобы Microsoft Sentinel с помощью агента мониторинга Azure. Эти шаги включают установку общего формата событий (CEF) через соединитель данных AMA в Microsoft Sentinel. После установки соединителя используйте инструкции, соответствующие вашему устройству, как показано далее в этой статье, чтобы завершить настройку.

Дополнительные сведения о связанном решении Microsoft Sentinel для каждого из этих устройств или устройств, выполните поиск в Azure Marketplace пошаблону решениядля типов> продуктов или просмотрите решение в центре содержимого в Microsoft Sentinel.

Важно!

После 31 марта 2027 г. Microsoft Sentinel больше не будут поддерживаться в портал Azure и будут доступны только на портале Microsoft Defender. Все клиенты, использующие Microsoft Sentinel в портал Azure, будут перенаправлены на портал Defender и будут использовать Microsoft Sentinel только на портале Defender.

Если вы по-прежнему используете Microsoft Sentinel в портал Azure, рекомендуется начать планирование перехода на портал Defender, чтобы обеспечить плавный переход и в полной мере воспользоваться преимуществами унифицированных операций безопасности, предлагаемых Microsoft Defender.

Аналитик ИИ Darktrace

Настройте Darktrace для пересылки сообщений системного журнала в формате CEF в рабочую область Azure через агент системного журнала.

  1. В визуализаторе угроз Darktrace перейдите на страницу Конфигурация системы в главном меню в разделе Администратор.
  2. В меню слева выберите Модули и выберите Microsoft Sentinel из доступных интеграции рабочих процессов.
  3. Найдите Microsoft Sentinel системного журнала CEF и выберите Создать, чтобы отобразить параметры конфигурации, если они еще не предоставлены.
  4. В поле Конфигурация сервера введите расположение средства пересылки журналов и при необходимости измените порт связи. Убедитесь, что выбранный порт имеет значение 514 и разрешен любым промежуточным брандмауэром.
  5. При необходимости настройте любые пороговые значения оповещений, смещения по времени или другие параметры.
  6. Просмотрите другие параметры конфигурации, которые могут изменить синтаксис системного журнала.
  7. Включите отправку оповещений и сохраните изменения.

События безопасности Akamai

Выполните следующие действия , чтобы настроить соединитель Akamai CEF для отправки сообщений системного журнала в формате CEF на прокси-компьютер. Убедитесь, что вы отправили журналы на порт 514 TCP по IP-адресу компьютера.

AristaAwakeSecurity

Выполните следующие действия, чтобы перенаправить результаты сопоставления Awake Adversarial Model в сборщик CEF, прослушивающий TCP-порт 514 по IP-адресу 192.168.0.1:

  1. Перейдите на страницу Навыки управления обнаружением в пользовательском интерфейсе пробуждения.
  2. Выберите + Добавить новый навык.
  3. Задайте для выражения значение integrations.cef.tcp { destination: "192.168.0.1", port: 514, secure: false, severity: Warning }
  4. Задайте для заголовка описательное имя, например Результат сопоставления состязательности состязательной модели вперед, чтобы Microsoft Sentinel.
  5. Задайте идентификатор ссылки на то, что легко обнаруживаемо, например integrations.cef.sentinel-forwarder.
  6. Выберите Сохранить.

В течение нескольких минут после сохранения определения и других полей система начинает отправлять новые результаты соответствия модели в сборщик событий CEF по мере их обнаружения.

Дополнительные сведения см. на странице Добавление принудительной интеграции сведений и событий безопасности из справочной документации в пользовательском интерфейсе Awake.

Aruba ClearPass

Настройте Aruba ClearPass для пересылки сообщений системного журнала в формате CEF в рабочую область Microsoft Sentinel через агент системного журнала.

  1. Следуйте этим инструкциям, чтобы настроить Aruba ClearPass для пересылки системного журнала.
  2. Используйте IP-адрес или имя узла для устройства Linux с установленным агентом Linux в качестве IP-адреса назначения.

Barracuda WAF

Брандмауэр веб-приложений Barracuda может интегрировать журналы и экспортировать их непосредственно в Microsoft Sentinel через агент мониторинга Azure (AMA).

  1. Перейдите к конфигурации Barracuda WAF и следуйте инструкциям, используя следующие параметры для настройки подключения.

  2. Средство журналов веб-брандмауэра. Перейдите к дополнительным параметрам рабочей области и на вкладках Data>Syslog . Убедитесь, что объект существует.

Обратите внимание, что данные из всех регионов хранятся в выбранной рабочей области.

Broadcom SymantecDLP

Настройте Symantec DLP для пересылки сообщений системного журнала в формате CEF в рабочую область Microsoft Sentinel через агент syslog.

  1. Следуйте этим инструкциям, чтобы настроить Symantec DLP для пересылки системного журнала.
  2. Используйте IP-адрес или имя узла для устройства Linux с установленным агентом Linux в качестве IP-адреса назначения.

Cisco Firepower EStreamer

Установите и настройте клиент Firepower eNcore eStreamer. Дополнительные сведения см. в полном руководстве по установке.

CiscoSEG

Выполните следующие действия, чтобы настроить шлюз Cisco Secure Email для пересылки журналов через системный журнал.

  1. Настройка подписки на журнал.
  2. Выберите Консолидированные журналы событий в поле Тип журнала.

Брандмауэр Веб-приложения Citrix

Настройте Citrix WAF для отправки сообщений системного журнала в формате CEF на прокси-компьютер.

  • Ознакомьтесь с руководствами по настройке журналов WAF и CEF в службе поддержки Citrix.

  • Следуйте этому руководству , чтобы перенаправить журналы на прокси-сервер. Убедитесь, что журналы отправляются на порт 514 TCP по IP-адресу Linux компьютера.

Claroty

Настройте переадресацию журналов с помощью CEF.

  1. Перейдите в раздел Системный журнал в меню Конфигурация.
  2. Выберите +Добавить.
  3. В диалоговом окне Добавление нового системного журнала укажите IP-адрес удаленного сервера, порт, протокол.
  4. Выберите Формат - сообщенияCEF.
  5. Нажмите кнопку Сохранить , чтобы выйти из диалогового окна Добавление системного журнала.

Защита от контрастности

Настройте агент Contrast Protect для пересылки событий в системный журнал, как описано здесь: https://docs.contrastsecurity.com/en/output-to-syslog.html. Создайте некоторые события атаки для приложения.

КраудСтрик Сокол

Разверните сборщик SIEM CrowdStrike Falcon, чтобы пересылать сообщения системного журнала в формате CEF в рабочую область Microsoft Sentinel через агент syslog.

  1. Следуйте этим инструкциям , чтобы развернуть сборщик SIEM и перенаправить системный журнал.
  2. Используйте IP-адрес или имя узла для устройства Linux с установленным агентом Linux в качестве IP-адреса назначения.

События CyberArk Enterprise Password Vault (EPV)

В EPV настройте dbparm.ini для отправки сообщений системного журнала в формате CEF на прокси-компьютер. Убедитесь, что журналы отправляются на порт 514 TCP на IP-адрес компьютеров.

Секретный сервер Delinea

Настройте решение для обеспечения безопасности для отправки сообщений системного журнала в формате CEF на прокси-компьютер. Убедитесь, что вы отправили журналы на порт 514 TCP по IP-адресу компьютера.

ExtraHop Reveal(x)

Настройте решение для обеспечения безопасности для отправки сообщений системного журнала в формате CEF на прокси-компьютер. Обязательно отправьте журналы на порт 514 TCP на IP-адрес компьютера.

  1. Следуйте инструкциям, чтобы установить пакет соединителя SIEM обнаружения ExtraHop в системе Reveal(x). Для этой интеграции требуется соединитель SIEM .
  2. Включите триггер для дополнительного обнаружения SIEM Connector — CEF.
  3. Обновите триггер с помощью созданных целевых объектов системного журнала ODS. 

Система Reveal(x) форматирует сообщения системного журнала в общем формате событий (CEF), а затем отправляет данные в Microsoft Sentinel.

F5 Networks

Настройте F5 для пересылки сообщений системного журнала в формате CEF в рабочую область Microsoft Sentinel через агент syslog.

Перейдите к разделу F5 Настройка ведения журнала событий безопасности приложений и следуйте инструкциям по настройке удаленного ведения журнала, используя следующие рекомендации.

  1. Задайте для параметра Тип удаленного хранилища значениеCEF.
  2. Задайте для параметра Протокол значениеUDP.
  3. Задайте IP-адрес сервера системного журнала.
  4. Задайте номер порта514 или порт, используемый агентом.
  5. Задайте для средства тот, который вы настроили в агенте syslog. По умолчанию агент задает для этого значения значение local4.
  6. Можно задать для параметра Максимальный размер строки запроса , чтобы он совпадал с настроенным.

Безопасность сети FireEye

Выполните следующие действия, чтобы отправить данные с помощью CEF:

  1. Войдите в (модуль) FireEye с учетной записью администратора.

  2. Выберите Настройки.

  3. Выберите Уведомления. Выберите rsyslog.

  4. Установите флажок Тип события проверка.

  5. Убедитесь, что параметры Rsyslog:

    • Формат по умолчанию: CEF
    • Доставка по умолчанию: за событие
    • Отправка по умолчанию как: оповещение

Forcepoint CASB

Настройте решение для обеспечения безопасности для отправки сообщений системного журнала в формате CEF на прокси-компьютер. Убедитесь, что вы отправили журналы на порт 514 TCP по IP-адресу компьютера.

Forcepoint CSG

Интеграция доступна с двумя вариантами реализации:

  1. Использует образы Docker, в которых компонент интеграции уже установлен со всеми необходимыми зависимостями. Следуйте инструкциям, приведенным в руководстве по интеграции.
  2. Требуется вручную развернуть компонент интеграции на чистом Linux компьютере. Следуйте инструкциям, приведенным в руководстве по интеграции.

Forcepoint NGFW

Настройте решение для обеспечения безопасности для отправки сообщений системного журнала в формате CEF на прокси-компьютер. Убедитесь, что вы отправили журналы на порт 514 TCP по IP-адресу компьютера.

Общий аудит ForgeRock для CEF

В ForgeRock установите и настройте этот общий аудит (CAUD) для Microsoft Sentinel согласно документации по адресу https://github.com/javaservlets/SentinelAuditEventHandler. Затем в Azure выполните действия, чтобы настроить соединитель данных CEF через AMA.

Fortinet

Настройте Fortinet для отправки сообщений системного журнала в формате CEF на прокси-компьютер. Убедитесь, что журналы отправляются на порт 514 TCP по IP-адресу компьютера.

Скопируйте приведенные ниже команды CLI и:

  • Замените "IP-адрес сервера <" IP-адресом> агента системного журнала.
  • Задайте параметр "<facility_name>", чтобы использовать средство, настроенное в агенте Syslog (по умолчанию агент задает значение local4).
  • Задайте для порта Syslog значение 514, порт, используемый агентом.
  • Чтобы включить формат CEF в ранних версиях FortiOS, может потребоваться выполнить команду "set csv disable".
    Дополнительные сведения см. в библиотеке документов Fortinet, выберите свою версию и используйте PDF-файлы "Справочник" и "Справочник по сообщениям журнала".

Подробнее >

Настройте подключение с помощью интерфейса командной строки для выполнения следующих команд: config log syslogd setting/n set status enable/nset format cef/nset port 514/nset server <ip_address_of_Receiver>/nend

iboss

Настройте консоль угроз для отправки сообщений системного журнала в формате CEF в рабочую область Azure. Запишите идентификатор рабочей области и первичный ключ в рабочей области Log Analytics. Выберите рабочую область в меню Рабочие области Log Analytics в портал Azure. Затем выберите Управление агентами в разделе Параметры .

  1. Перейдите в раздел Отчеты & Аналитика в консоли iboss.
  2. Выберите Переадресация журналов>из репортера.
  3. Выберите Действия>Добавить службу.
  4. Выберите Microsoft Sentinel в качестве типа службы и введите идентификатор рабочей области или первичный ключ вместе с другими критериями. Если был настроен выделенный прокси-сервер Linux компьютере, переключите параметр Syslog в качестве типа службы и настройте параметры так, чтобы они указывали на выделенный прокси-сервер Linux компьютере.
  5. Подождите от одной до двух минут, пока настройка завершится.
  6. Выберите службу Microsoft Sentinel и убедитесь, что состояние установки Microsoft Sentinel успешно установлено. Если настроен выделенный прокси-сервер Linux компьютере, можно проверить подключение.

Illumio Core

Настройте формат события.

  1. В меню веб-консоли PCE выберите Параметры > Параметры События, чтобы просмотреть текущие параметры.
  2. Выберите Изменить , чтобы изменить параметры.
  3. Задайте для свойства Формат события значение CEF.
  4. (Необязательно) Настройка серьезности события и срока хранения.

Настройте перенаправление событий на внешний сервер системного журнала.

  1. В меню веб-консоли PCE выберите Параметры Параметры>События Параметры.
  2. Нажмите Добавить.
  3. Выберите Добавить репозиторий.
  4. Завершите диалоговое окно Добавление репозитория .
  5. Нажмите кнопку ОК , чтобы сохранить конфигурацию переадресации событий.

Иллюзорная платформа

  1. Настройте решение для обеспечения безопасности для отправки сообщений системного журнала в формате CEF на прокси-компьютер. Убедитесь, что вы отправили журналы на порт 514 TCP по IP-адресу компьютера.

  2. Войдите в консоль Illusive и перейдите в раздел Параметры отчетов>.

  3. Найдите серверы системного журнала.

  4. Укажите следующие сведения:

    • Имя узла: Linux IP-адрес агента syslog или полное доменное имя узла
    • Порт: 514
    • Протокол: TCP
    • Сообщения аудита: отправка сообщений аудита на сервер
  5. Чтобы добавить сервер системного журнала, нажмите кнопку Добавить.

Дополнительные сведения о том, как добавить новый сервер системного журнала на платформу Illusive, см. в руководстве по Администратор иллюзорных сетей здесь:https://support.illusivenetworks.com/hc/en-us/sections/360002292119-Documentation-by-Version

Шлюз Imperva WAF

Для этого соединителя необходимо создать интерфейс действий и набор действий в MX Imperva SecureSphere. Выполните действия, чтобы создать требования.

  1. Создайте интерфейс действия, содержащий необходимые параметры для отправки оповещений WAF Microsoft Sentinel.
  2. Создайте набор действий , использующий настроенный интерфейс действий .
  3. Примените набор действий к любым политикам безопасности, которые вы хотите получать оповещения для отправки в Microsoft Sentinel.

Infoblox Cloud Data Connector

Выполните следующие действия, чтобы настроить Infoblox CDC для отправки данных BloxOne в Microsoft Sentinel через агент системного журнала Linux.

  1. Перейдите в раздел Управление>соединителем данных.
  2. Выберите вкладку Конфигурация назначения в верхней части окна.
  3. Выберите Создать > системный журнал.
    • Имя. Присвойте новому назначению понятное имя, например Microsoft-Sentinel-Destination.
    • Описание. При необходимости присвойте ему понятное описание.
    • Состояние: задайте для параметра состояние Включено.
    • Формат: задайте для формата значение CEF.
    • Полное доменное имя/IP: введите IP-адрес Linux устройства, на котором установлен агент Linux.
    • Порт: оставьте номер порта 514.
    • Протокол. Выберите требуемый протокол и сертификат ЦС, если применимо.
    • Выберите Сохранить & Закрыть.
  4. Выберите вкладку Конфигурация потока трафика в верхней части окна.
  5. Нажмите Создать.
    • Имя. Присвойте новому потоку трафика понятное имя, например Microsoft-Sentinel-Flow.
    • Описание. При необходимости присвойте ему понятное описание.
    • Состояние: задайте для параметра состояние Включено.
    • Разверните раздел Экземпляр службы .
      • Экземпляр службы. Выберите нужный экземпляр службы, для которого включена служба соединителя данных.
    • Разверните раздел Конфигурация источника .
      • Источник. Выберите BloxOne Cloud Source.
      • Выберите все необходимые типы журналов , которые требуется собрать. В настоящее время поддерживаются следующие типы журналов:
        • Журнал запросов и ответов защиты от угроз
        • Журнал попаданий каналов защиты от угроз
        • Журнал запросов и ответов DDI
        • Журнал аренды DHCP DDI
    • Разверните раздел Конфигурация назначения .
      • Выберите созданное назначение .
    • Выберите Сохранить & Закрыть.
  6. Разрешите настройке некоторое время для активации.

Infoblox SOC Insights

Выполните следующие действия, чтобы настроить Infoblox CDC для отправки данных BloxOne в Microsoft Sentinel через агент системного журнала Linux.

  1. Перейдите в раздел Управление > соединителем данных.
  2. Выберите вкладку Конфигурация назначения в верхней части окна.
  3. Выберите Создать > системный журнал.
    • Имя. Присвойте новому назначению понятное имя, например Microsoft-Sentinel-Destination.
    • Описание. При необходимости присвойте ему понятное описание.
    • Состояние: задайте для параметра состояние Включено.
    • Формат: задайте для формата значение CEF.
    • Полное доменное имя/IP: введите IP-адрес Linux устройства, на котором установлен агент Linux.
    • Порт: оставьте номер порта 514.
    • Протокол. Выберите требуемый протокол и сертификат ЦС, если применимо.
    • Выберите Сохранить & Закрыть.
  4. Выберите вкладку Конфигурация потока трафика в верхней части окна.
  5. Нажмите Создать.
    • Имя. Присвойте новому потоку трафика понятное имя, например Microsoft-Sentinel-Flow.
    • Описание. При необходимости присвойте ему понятное описание.
    • Состояние: задайте для параметра состояние Включено.
    • Разверните раздел Экземпляр службы .
      • Экземпляр службы. Выберите нужный экземпляр службы, для которого включена служба соединителя данных.
    • Разверните раздел Конфигурация источника .
      • Источник. Выберите BloxOne Cloud Source.
      • Выберите тип журнала внутренних уведомлений .
    • Разверните раздел Конфигурация назначения .
      • Выберите созданное назначение .
    • Выберите Сохранить & Закрыть.
  6. Разрешите настройке некоторое время для активации.

KasperskySecurityCenter

Следуйте инструкциям, чтобы настроить экспорт событий из Центра безопасности Лаборатории Безопасности.

Морфисек

Настройте решение для обеспечения безопасности для отправки сообщений системного журнала в формате CEF на прокси-компьютер. Убедитесь, что вы отправили журналы на порт 514 TCP по IP-адресу компьютера.

Netwrix Auditor

Следуйте инструкциям, чтобы настроить экспорт событий из Netwrix Auditor.

NozomiNetworks

Выполните следующие действия, чтобы настроить устройство Nozomi Networks для отправки оповещений, аудита и журналов работоспособности через системный журнал в формате CEF:

  1. Войдите в консоль Guardian.
  2. Перейдите в раздел Администрирование>Интеграция данных.
  3. Выберите +Добавить.
  4. Выберите общий формат событий (CEF) в раскрывающемся списке.
  5. Создайте новую конечную точку , используя соответствующие сведения об узле.
  6. Включите оповещения, журналы аудита и журналы работоспособности для отправки .

Платформа Onapsis

Сведения о настройке переадресации журналов агенту syslog см. в справке по продукту Onapsis.

  1. Перейдите в раздел Настройка>сторонних интеграцийЗащита оповещений> и следуйте инструкциям для Microsoft Sentinel.

  2. Убедитесь, что консоль Onapsis может связаться с прокси-компьютером, на котором установлен агент. Журналы должны отправляться на порт 514 по протоколу TCP.

OSSEC

Выполните следующие действия , чтобы настроить отправку оповещений OSSEC через системный журнал.

Пало Альто — XDR (Cortex)

Настройте Palo Alto XDR (Cortex) для пересылки сообщений в формате CEF в рабочую область Microsoft Sentinel через агент системного журнала.

  1. Перейдите в раздел Параметры и конфигурации Cortex.
  2. Выберите , чтобы добавить новый сервер в разделе Внешние приложения.
  3. Затем укажите имя и укажите общедоступный IP-адрес сервера системного журнала в поле Назначение.
  4. Укажите номер порта 514.
  5. В поле "Объект " выберите FAC_SYSLOG в раскрывающемся списке.
  6. Выберите Протокол в качестве UDP.
  7. Нажмите Создать.

PaloAlto-PAN-OS

Настройте Palo Alto Networks для пересылки сообщений системного журнала в формате CEF в рабочую область Microsoft Sentinel через агент системного журнала.

  1. Перейдите к настройке Palo Alto Networks NGFW для отправки событий CEF.

  2. Перейдите в Palo Alto CEF Configuration и Palo Alto Configure Syslog Monitoring (шаги 2, 3), выберите свою версию и следуйте инструкциям, следуя приведенным ниже рекомендациям.

    1. Задайте для параметра Формат сервера Syslog значениеBSD.
    2. Скопируйте текст в редактор и удалите все символы, которые могут нарушить формат журнала, прежде чем вставить его. Операции копирования и вставки из PDF-файла могут изменять текст и вставлять случайные символы.

Подробнее

PaloAltoCDL

Следуйте инструкциям по настройке перенаправления журналов из Cortex Data Lake на сервер системного журнала.

PingFederate

Выполните следующие действия , чтобы настроить отправку журнала аудита PingFederate через системный журнал в формате CEF.

RidgeSecurity

Настройте RidgeBot для пересылки событий на сервер системного журнала, как описано здесь. Создайте некоторые события атаки для приложения.

Брандмауэр SonicWall

Настройте брандмауэр SonicWall для отправки сообщений системного журнала в формате CEF на прокси-компьютер. Убедитесь, что журналы отправляются на порт 514 TCP по IP-адресу компьютера.

Следуйте инструкциям. Затем убедитесь, что в качестве объекта выбрано локальное значение 4. Затем выберите ArcSight в качестве формата системного журнала.

Trend Micro Apex One

Выполните следующие действия , чтобы настроить отправку оповещений Apex Central через системный журнал. При настройке на шаге 6 выберите формат журнала CEF.

Trend Micro Deep Security

Настройте решение для обеспечения безопасности для отправки сообщений системного журнала в формате CEF на прокси-компьютер. Обязательно отправьте журналы на порт 514 TCP по IP-адресу компьютера.

  1. Перенаправка событий Trend Micro Deep Security в агент системного журнала.
  2. Определите новую конфигурацию системного журнала, которая использует формат CEF, со ссылкой на эту статью знаний для получения дополнительных сведений.
  3. Настройте диспетчер глубокой безопасности , чтобы использовать эту новую конфигурацию для пересылки событий в агент системного журнала с помощью этих инструкций.
  4. Обязательно сохраните функцию TrendMicroDeepSecurity , чтобы она правильно запрашивала данные Trend Micro Deep Security.

Trend Micro TippingPoint

Настройте SMS TippingPoint для отправки сообщений системного журнала в формате ArcSight CEF версии 4.2 на прокси-компьютер. Убедитесь, что вы отправили журналы на порт 514 TCP по IP-адресу компьютера.

Контроллер приложения vArmour

Отправка сообщений системного журнала в формате CEF на прокси-компьютер. Убедитесь, что вы отправили журналы на порт 514 TCP по IP-адресу компьютера.

Vectra AI Detect

Настройте агент Vectra (серия X) для пересылки сообщений системного журнала в формате CEF в рабочую область Microsoft Sentinel через агент syslog.

В пользовательском интерфейсе Vectra перейдите в раздел Параметры Уведомления > и Изменение конфигурации системного журнала. Следуйте приведенным ниже инструкциям, чтобы настроить подключение:

  1. Добавьте новое назначение (узел, на котором работает агент Microsoft Sentinel syslog).
  2. Задайте для параметра Портзначение 514.
  3. Задайте для параметра Протоколзначение UDP.
  4. Задайте для форматаCEF.
  5. Задайте типы журналов. Выберите все доступные типы журналов.
  6. Выберите Сохранить.
  7. Нажмите кнопку Тест , чтобы отправить некоторые тестовые события.

Дополнительные сведения см. в руководстве по системным журналам Cognito Detect, которое можно скачать со страницы ресурсов в разделе Обнаружение пользовательского интерфейса.

Votiro

Настройте конечные точки Votiro для отправки сообщений системного журнала в формате CEF на компьютер пересылки. Убедитесь, что журналы отправляются на порт 514 TCP по IP-адресу компьютера пересылки.

Платформа WireX Network Forensics

Обратитесь в службу поддержки WireX (https://wirexsystems.com/contact-us/), чтобы настроить решение NFP для отправки сообщений системного журнала в формате CEF на прокси-компьютер. Убедитесь, что центральный диспетчер может отправлять журналы на порт 514 TCP на IP-адрес компьютера.

WithSecure Elements через соединитель

Подключите (модуль) соединителя WithSecure Elements к Microsoft Sentinel. Соединитель данных WithSecure Elements Connector позволяет легко подключать журналы WithSecure Elements к Microsoft Sentinel, просматривать панели мониторинга, создавать настраиваемые оповещения и улучшать исследование.

Примечание.

Данные хранятся в географическом расположении рабочей области, в которой выполняется Microsoft Sentinel.

Настройте с помощью соединителя Secure Elements перенаправление сообщений системного журнала в формате CEF в рабочую область Log Analytics через агент системного журнала.

  1. Выберите или создайте компьютер Linux, который Microsoft Sentinel будет использоваться в качестве прокси-сервера между решением WithSecurity и Microsoft Sentinel. Компьютер может быть локальной средой, microsoft Azure или другой облачной средой. Linux необходимо установить и python/python3 установить.syslog-ng
  2. Установите агент мониторинга Azure (AMA) на Linux компьютере и настройте компьютер для прослушивания необходимого порта и пересылки сообщений в рабочую область Microsoft Sentinel. Сборщик CEF собирает сообщения CEF через порт TCP 514. На компьютере должны быть повышенные разрешения (sudo).
  3. Перейдите к EPP на портале withSecure Elements Portal. Затем перейдите в раздел Загрузки. В разделе Соединитель элементов выберите Создать ключ подписки. Ключ подписки можно проверка в разделе Подписки.
  4. В разделе Загрузки в соединителе WithSecure Elements выберите нужный установщик и скачайте его.
  5. В EPP откройте параметры учетной записи в правом верхнем углу. Затем выберите Получить ключ API управления. Если ключ был создан ранее, его также можно прочитать там.
  6. Чтобы установить Соединитель элементов, следуйте инструкциям в документации по Соединителю элементов.
  7. Если доступ к API не настроен во время установки, следуйте инструкциям по настройке доступа к API для соединителя элементов.
  8. Перейдите в раздел EPP, выберите Профили, а затем используйте For Connector , где можно просмотреть профили соединителя. Создайте новый профиль (или измените существующий профиль, недоступный только для чтения). В переадресации событий включите его. Задайте системный адрес SIEM: 127.0.0.1:514. Присвойте формату общий формат событий. Протокол TCP. Сохраните профиль и назначьте его соединителю элементов на вкладке Устройства .
  9. Чтобы использовать соответствующую схему в Log Analytics для соединителя WithSecure Elements, найдите CommonSecurityLog.
  10. Продолжайте проверку подключения CEF.

Zscaler

Настройте продукт Zscaler для отправки сообщений системного журнала в формате CEF агенту системного журнала. Убедитесь, что журналы отправляются через порт TCP 514.

Дополнительные сведения см. в руководстве по интеграции с Zscaler Microsoft Sentinel.