CEF über AMA-Datenconnector – Konfigurieren spezieller Appliances oder Geräte für die Microsoft Sentinel-Datenerfassung

Die Protokollsammlung von vielen Sicherheitsgeräten und Geräten wird vom Common Event Format (CEF) über den AMA-Datenconnector in Microsoft Sentinel unterstützt. In diesem Artikel werden vom Anbieter bereitgestellte Installationsanweisungen für bestimmte Sicherheitsgeräte und Geräte aufgeführt, die diesen Datenkonnektor verwenden. Wenden Sie sich an den Anbieter, um Updates, weitere Informationen zu erhalten oder wenn Informationen für Ihre Sicherheitsanwendung oder Ihr Gerät nicht verfügbar sind.

Um Daten in Ihren Log Analytics-Arbeitsbereich für Microsoft Sentinel aufzunehmen, führen Sie die Schritte zum Aufnehmen von Syslog- und CEF-Nachrichten an Microsoft Sentinel mit dem Azure Monitor-Agent aus. Diese Schritte umfassen die Installation des Common Event Format (CEF) über den AMA-Datenkonnektor in Microsoft Sentinel. Nachdem der Connector installiert wurde, verwenden Sie die für Ihr Gerät geeigneten Anweisungen, die weiter unten in diesem Artikel gezeigt werden, um die Einrichtung abzuschließen.

For more information about the related Microsoft Sentinel solution for each of these appliances or devices, search the Azure Marketplace for the Product Type>Solution Templates or review the solution from the Content hub in Microsoft Sentinel.

KI-Analyst Darktrace

Konfigurieren Sie Darktrace, um Syslog-Nachrichten im CEF-Format über den Syslog-Agent an Ihren Azure-Arbeitsbereich weiterzuleiten.

1. Within the Darktrace Threat Visualizer, navigate to the System Config page in the main menu under Admin.
2. From the left-hand menu, select Modules and choose Microsoft Sentinel from the available Workflow Integrations.
3. Locate Microsoft Sentinel syslog CEF and select New to reveal the configuration settings, unless already exposed.
4. In the Server configuration field, enter the location of the log forwarder and optionally modify the communication port. Stellen Sie sicher, dass der Port auf 514 festgelegt ist und von allen zwischengeschalteten Firewalls zugelassen wird.
5. Konfigurieren Sie alle Warnungsschwellenwerte, Zeitversätze oder andere Einstellungen nach Bedarf.
6. Überprüfen Sie alle anderen Konfigurationsoptionen, die Sie möglicherweise aktivieren möchten, um die Syslogsyntax zu ändern.
7. Enable Send Alerts and save your changes.

Sicherheitsrelevante Akamai-Ereignisse

Führen Sie die folgenden Schritte aus, um den Akamai CEF-Connector so zu konfigurieren, dass Syslog-Nachrichten im CEF-Format an den Proxycomputer gesendet werden. Die Protokolle müssen über TCP-Port 514 an die IP-Adresse des Computers gesendet werden.

AristaAwakeSecurity

Complete the following steps to forward Awake Adversarial Model match results to a CEF collector listening on TCP port 514 at IP 192.168.0.1:

1. Navigieren Sie zur Seite " Erkennungsverwaltungskompetenzen " in der Benutzeroberfläche "Wach".
2. Wählen Sie +Neue Fähigkeiten hinzufügen.
3. Set Expression to integrations.cef.tcp { destination: "192.168.0.1", port: 514, secure: false, severity: Warning }
4. Set Title to a descriptive name like, Forward Awake Adversarial Model match result to Microsoft Sentinel.
5. Set Reference Identifier to something easily discoverable like, integrations.cef.sentinel-forwarder.
6. Select Save.

Innerhalb weniger Minuten nach dem Speichern der Definition und anderer Felder beginnt das System, neue Modellergebnisse an den CEF-Ereignissammler zu senden, sobald sie erkannt werden.

Weitere Informationen finden Sie auf der Seite zum Hinzufügen einer Sicherheitsinformations- und Ereignisverwaltungs-Pushintegrationsseite in der Hilfedokumentation in der Awake-Benutzeroberfläche.

Aruba ClearPass

Konfigurieren Sie Aruba ClearPass so, dass Syslog-Nachrichten im CEF-Format über den Syslog-Agent an Ihren Microsoft Sentinel-Arbeitsbereich weitergeleitet werden.

1. Befolgen Sie diese Anweisungen , um den Aruba ClearPass so zu konfigurieren, dass syslog weitergeleitet wird.
2. Use the IP address or hostname for the Linux device with the Linux agent installed as the Destination IP address.

Barracuda WAF

Die Barracuda-Webanwendungsfirewall kann protokolle direkt über den Azure Monitoring Agent (AMA) in Microsoft Sentinel integrieren und exportieren.

1. Wechseln Sie zur Barracuda WAF-Konfiguration, und folgen Sie den Anweisungen, indem Sie die folgenden Parameter verwenden, um die Verbindung einzurichten.

2. Web Firewall logs facility: Go to the advanced settings for your workspace and on the Data>Syslog tabs. Stellen Sie sicher, dass die Anlage vorhanden ist.

Beachten Sie, dass die Daten aus allen Regionen im ausgewählten Arbeitsbereich gespeichert werden.

Broadcom SymantecDLP

Konfigurieren Sie Symantec DLP so, dass Syslog-Nachrichten im CEF-Format über den Syslog-Agent an Ihren Microsoft Sentinel-Arbeitsbereich weitergeleitet werden.

1. Befolgen Sie diese Anweisungen , um die Symantec DLP so zu konfigurieren, dass syslog weitergeleitet wird.
2. Use the IP address or hostname for the Linux device with the Linux agent installed as the Destination IP address.

Cisco Firepower EStreamer

Installieren und konfigurieren Sie den Firepower eNcore eStreamer-Client. For more information, see the full install guide.

CiscoSEG

Führen Sie die folgenden Schritte aus, um Cisco Secure Email Gateway so zu konfigurieren, dass Protokolle über Syslog weitergeleitet werden:

1. Configure Log Subscription.
2. Wählen Sie "Konsolidierte Ereignisprotokolle " im Feld "Protokolltyp" aus.

Citrix Web App Firewall

Konfigurieren Sie Citrix WAF, um Syslog-Nachrichten im CEF-Format an den Proxycomputer zu senden.

• Find guides to configure WAF and CEF logs from Citrix Support.

• Follow this guide to forward the logs to proxy. Die Protokolle müssen über TCP-Port 514 an die IP-Adresse des Linux-Computers gesendet werden.

Claroty

Konfigurieren Sie die Protokollweiterleitung mithilfe von CEF.

1. Navigate to the Syslog section of the Configuration menu.
2. Select +Add.
3. Geben Sie im Dialogfeld "Neues Syslog hinzufügen"Remoteserver-IP, Port, Protokoll an.
4. Select Message Format - CEF.
5. Choose Save to exit the Add Syslog dialog.

Contrast Protect

Konfigurieren Sie den Contrast Protect-Agent so, dass Ereignisse wie folgt beschrieben an syslog weitergeleitet werden: https://docs.contrastsecurity.com/en/output-to-syslog.html. Generieren Sie ein paar Angriffsereignisse für Ihre Anwendung.

CrowdStrike Falcon

Stellen Sie den CrowdStrike Falcon SIEM Collector bereit, um Syslog-Nachrichten im CEF-Format über den Syslog-Agent an Ihren Microsoft Sentinel-Arbeitsbereich weiterzuleiten.

1. Befolgen Sie diese Anweisungen , um den SIEM Collector bereitzustellen und Syslog weiterzuleiten.
2. Verwenden Sie die IP-Adresse oder den Host-Namen für das Linux-Gerät mit installiertem Linux-Agent als Ziel-IP-Adresse.

CyberArk EPV-Ereignisse (Enterprise Password Vault)

Konfigurieren Sie im EPV die dbparm.ini, um Syslog-Nachrichten im CEF-Format an den Proxycomputer zu senden. Die Protokolle müssen an den TCP-Port 514 der IP-Adresse des Computers gesendet werden.

Geheimer Server delinea

Legen Sie Ihre Sicherheitslösung fest, um Syslog-Nachrichten im CEF-Format an den Proxycomputer zu senden. Die Protokolle müssen über TCP-Port 514 an die IP-Adresse des Computers gesendet werden.

ExtraHop Reveal(x)

Legen Sie Ihre Sicherheitslösung fest, um Syslog-Nachrichten im CEF-Format an den Proxycomputer zu senden. Die Protokolle müssen über TCP-Port 514 an die IP-Adresse des Computers gesendet werden.

1. Folgen Sie den Anweisungen, um das ExtraHop Detection SIEM Connector Bundle auf Ihrem Reveal(x)-System zu installieren. The SIEM Connector is required for this integration.
2. Aktivieren Sie den Trigger für extraHop Detection SIEM Connector – CEF.
3. Aktualisieren Sie den Trigger mit den von Ihnen erstellten ODS-Syslogzielen. 

Das Reveal(x)-System formatiert Syslog-Nachrichten im Common Event Format (CEF) und sendet dann Daten an Microsoft Sentinel.

F5 Networks

Konfigurieren Sie F5, um Syslog-Nachrichten im CEF-Format über den Syslog-Agent an Ihren Microsoft Sentinel-Arbeitsbereich weiterzuleiten.

Wechseln Sie zu F5 Konfigurieren der Anwendungssicherheitsereignisprotokollierung, befolgen Sie die Anweisungen zum Einrichten der Remoteprotokollierung unter Verwendung der folgenden Richtlinien:

1. Legen Sie den Remotespeichertyp auf CEF fest.
2. Set the Protocol setting to UDP.
3. Set the IP address to the syslog server IP address.
4. Set the port number to 514, or the port your agent uses.
5. Set the facility to the one that you configured in the syslog agent. By default, the agent sets this value to local4.
6. Sie können festlegen, dass die maximale Größe der Abfragezeichenfolge mit der von Ihnen konfigurierten Größe identisch ist.

FireEye Network Security

Führen Sie die folgenden Schritte aus, um Daten mithilfe von CEF zu senden:

1. Melden Sie sich mit einem Administratorkonto bei der FireEye-Appliance an.

2. Select Settings.

3. Select Notifications. Select rsyslog.

4. Check the Event type check box.

5. Stellen Sie sicher, dass die Rsyslog-Einstellungen wie folgt aussehen:

   • Default format: CEF
   • Default delivery: Per event
   • Default send as: Alert

Forcepoint CASB

Legen Sie Ihre Sicherheitslösung fest, um Syslog-Nachrichten im CEF-Format an den Proxycomputer zu senden. Die Protokolle müssen über TCP-Port 514 an die IP-Adresse des Computers gesendet werden.

Forcepoint CSG

Die Integration wird mit zwei Implementierungsoptionen zur Verfügung gestellt:

1. Verwendet Docker-Images, bei denen die Integrationskomponente bereits mit allen erforderlichen Abhängigkeiten installiert ist. Follow the instructions provided in the Integration Guide.
2. Erfordert die manuelle Bereitstellung der Integrationskomponente auf einem sauberen Linux-Computer. Follow the instructions provided in the Integration Guide.

Forcepoint NGFW

Legen Sie Ihre Sicherheitslösung fest, um Syslog-Nachrichten im CEF-Format an den Proxycomputer zu senden. Die Protokolle müssen über TCP-Port 514 an die IP-Adresse des Computers gesendet werden.

ForgeRock Common Audit for CEF

Installieren und konfigurieren Sie in ForgeRock diese gemeinsame Überwachung (Common Audit, CAUD) für Microsoft Sentinel gemäß der Dokumentation unter https://github.com/javaservlets/SentinelAuditEventHandler. Führen Sie als Nächstes in Azure die Schritte zum Konfigurieren des CEF über den AMA-Datenconnector aus.

Fortinet

Stellen Sie Fortinet so ein, dass Syslog-Nachrichten im CEF-Format an den Proxycomputer gesendet werden. Die Protokolle müssen über TCP-Port 514 an die IP-Adresse des Computers gesendet werden.

Kopieren Sie die folgenden CLI-Befehle, und gehen Sie folgendermaßen vor:

• Ersetzen Sie „Server-<IP-Adresse>“ durch die IP-Adresse des Syslog-Agents.
  
• Legen Sie <facility_name> auf die Komponente fest, die Sie im Syslog-Agent konfiguriert haben (wird vom Agent standardmäßig auf „local4“ festgelegt).
  
• Legen Sie den Syslog-Port auf den von Ihrem Agent verwendeten Port 514 fest.
  
• In frühen Versionen von FortiOS muss zum Aktivieren des CEF-Formats ggf. der Befehl „set csv disable“ ausgeführt werden.
  Weitere Informationen hierzu können Sie in der Fortinet-Dokumentbibliothek aufrufen, Ihre Version auswählen und die PDF-Dateien "Handbuch" und "Protokollnachrichtenreferenz" verwenden.
  

Weitere Informationen >

Richten Sie die Verbindung mithilfe der CLI ein, um die folgenden Befehle auszuführen: config log syslogd setting/n set status enable/nset format cef/nset port 514/nset server <ip_address_of_Receiver>/nend

iboss

Legen Sie Ihre Bedrohungskonsole so fest, dass Syslog-Nachrichten im CEF-Format an Ihren Azure-Arbeitsbereich gesendet werden. Make note of your Workspace ID and Primary Key within your Log Analytics workspace. Wählen Sie im Azure-Portal im Menü Log Analytics-Arbeitsbereiche den Arbeitsbereich aus. Then select Agents management in the Settings section.

1. Navigieren Sie in Ihrer iboss-Konsole zu Reporting & Analytics .
2. Select Log Forwarding>Forward From Reporter.
3. Select Actions>Add Service.
4. Toggle to Microsoft Sentinel as a Service Type and input your Workspace ID/Primary Key along with other criteria. If a dedicated proxy Linux machine was configured, toggle to Syslog as a Service Type and configure the settings to point to your dedicated proxy Linux machine.
5. Warten Sie ein bis zwei Minuten, bis das Setup abgeschlossen ist.
6. Wählen Sie Ihren Microsoft Sentinel-Dienst aus, und überprüfen Sie, ob der Microsoft Sentinel-Setupstatus erfolgreich ist. Wenn ein dedizierter Linux-Proxycomputer konfiguriert ist, überprüfen Sie möglicherweise Ihre Verbindung.

Illumio Core

Ereignisformat konfigurieren.

1. Wählen Sie im Menü "PCE-Webkonsole" die Option "Ereigniseinstellungen" > aus, um Ihre aktuellen Einstellungen anzuzeigen.
2. Select Edit to change the settings.
3. Set Event Format to CEF.
4. (Optional) Configure Event Severity and Retention Period.

Konfigurieren sie die Ereignisweiterleitung an einen externen Syslog-Server.

1. From the PCE web console menu, choose Settings>Event Settings.
2. Select Add.
3. Select Add Repository.
4. Complete the Add Repository dialog.
5. Select OK to save the event forwarding configuration.

Illusive Platform

1. Legen Sie Ihre Sicherheitslösung fest, um Syslog-Nachrichten im CEF-Format an den Proxycomputer zu senden. Die Protokolle müssen über TCP-Port 514 an die IP-Adresse des Computers gesendet werden.

2. Sign into the Illusive Console, and navigate to Settings>Reporting.

3. Find Syslog Servers.

4. Geben Sie die folgenden Informationen an:

   • Hostname: IP-Adresse des Linux-Syslog-Agents oder FQDN-Hostname
   • Port: 514
   • Protocol: TCP
   • Überwachungsnachrichten: Senden von Überwachungsnachrichten an den Server

5. To add the syslog server, select Add.

Weitere Informationen zum Hinzufügen eines neuen Syslog-Servers in der Illusive-Plattform finden Sie im Administratorhandbuch für illusive Netzwerke hier: https://support.illusivenetworks.com/hc/en-us/sections/360002292119-Documentation-by-Version

Imperva WAF-Gateway

This connector requires an Action Interface and Action Set to be created on the Imperva SecureSphere MX. Führen Sie die Schritte aus, um die Anforderungen zu erstellen.

1. Create a new Action Interface that contains the required parameters to send WAF alerts to Microsoft Sentinel.
2. Create a new Action Set that uses the Action Interface configured.
3. Wenden Sie den Aktionssatz auf alle Sicherheitsrichtlinien an, die Sie über Benachrichtigungen für das Senden an Microsoft Sentinel verfügen möchten.

Infoblox-Clouddatenconnector

Führen Sie die folgenden Schritte aus, um das Infoblox CDC so zu konfigurieren, dass BloxOne-Daten über den Linux-Syslog-Agent an Microsoft Sentinel gesendet werden.

1. Navigate to Manage>Data Connector.
2. Select the Destination Configuration tab at the top.
3. Wählen Sie "Syslog erstellen" >aus.
   • Name: Give the new Destination a meaningful name, such as Microsoft-Sentinel-Destination.
   • Description: Optionally give it a meaningful description.
   • State: Set the state to Enabled.
   • Format: Set the format to CEF.
   • FQDN/IP: Enter the IP address of the Linux device on which the Linux agent is installed.
   • Port: Leave the port number at 514.
   • Protocol: Select desired protocol and CA certificate if applicable.
   • Wählen Sie "Speichern" und "Schließen" aus.
4. Wählen Sie oben die Registerkarte " Datenverkehrsflusskonfiguration " aus.
5. Select Create.
   • Name: Give the new Traffic Flow a meaningful name, such as Microsoft-Sentinel-Flow.
   • Description: Optionally give it a meaningful description.
   • State: Set the state to Enabled.
   • Expand the Service Instance section.
     • Service Instance: Select your desired Service Instance for which the Data Connector service is enabled.
   • Expand the Source Configuration section.
     • Source: Select BloxOne Cloud Source.
     • Select all desired log types you wish to collect. Zurzeit werden folgende Protokolltypen unterstützt:
       • Threat Defense-Abfrage/Antwortprotokoll
       • Threat Defense-Threat-Feeds-Treffer-Protokoll
       • DDI-Abfrage/Antwortprotokoll
       • DDI-DHCP-Leaseprotokoll
   • Expand the Destination Configuration section.
     • Select the Destination you created.
   • Wählen Sie "Speichern" und "Schließen" aus.
6. Lassen Sie der Konfiguration einige Zeit zur Aktivierung.

Infoblox SOC Insights

Führen Sie die folgenden Schritte aus, um das Infoblox CDC so zu konfigurieren, dass BloxOne-Daten über den Linux-Syslog-Agent an Microsoft Sentinel gesendet werden.

1. Navigieren Sie zu "Datenkonnektor verwalten>".
2. Select the Destination Configuration tab at the top.
3. Wählen Sie "Syslog erstellen" >aus.
   • Name: Give the new Destination a meaningful name, such as Microsoft-Sentinel-Destination.
   • Description: Optionally give it a meaningful description.
   • State: Set the state to Enabled.
   • Format: Set the format to CEF.
   • FQDN/IP: Enter the IP address of the Linux device on which the Linux agent is installed.
   • Port: Leave the port number at 514.
   • Protocol: Select desired protocol and CA certificate if applicable.
   • Wählen Sie "Speichern" und "Schließen" aus.
4. Wählen Sie oben die Registerkarte " Datenverkehrsflusskonfiguration " aus.
5. Select Create.
   • Name: Give the new Traffic Flow a meaningful name, such as Microsoft-Sentinel-Flow.
   • Description: Optionally give it a meaningful description.
   • State: Set the state to Enabled.
   • Expand the Service Instance section.
     • Service Instance: Select your desired service instance for which the data connector service is enabled.
   • Expand the Source Configuration section.
     • Source: Select BloxOne Cloud Source.
     • Select the Internal Notifications Log Type.
   • Expand the Destination Configuration section.
     • Select the Destination you created.
   • Wählen Sie "Speichern" und "Schließen" aus.
6. Lassen Sie der Konfiguration einige Zeit zur Aktivierung.

KasperskySecurityCenter

Befolgen Sie die Anweisungen zum Konfigurieren des Ereignisexports aus dem Kaspersky Security Center.

Morphisec

Legen Sie Ihre Sicherheitslösung fest, um Syslog-Nachrichten im CEF-Format an den Proxycomputer zu senden. Die Protokolle müssen über TCP-Port 514 an die IP-Adresse des Computers gesendet werden.

Netwrix Auditor

Befolgen Sie die Anweisungen zum Konfigurieren des Ereignisexports von Netwrix Auditor.

NozomiNetworks

Führen Sie die folgenden Schritte aus, um das Nozomi Networks-Gerät so zu konfigurieren, dass Warnungen, Überwachungs- und Integritätsprotokolle über Syslog im CEF-Format gesendet werden:

1. Melden Sie sich bei der Guardian-Konsole an.
2. Navigate to Administration>Data Integration.
3. Select +Add.
4. Wählen Sie in der Dropdownliste das Common Event Format (CEF) aus.
5. Create New Endpoint using the appropriate host information.
6. Enable Alerts, Audit Logs, and Health Logs for sending.

Onapsis Platform

Informationen zum Einrichten der Protokollweiterleitung an den Syslog-Agent finden Sie in der Onapsis-In-Product-Hilfe.

1. Go to Setup>Third-party integrations>Defend Alarms and follow the instructions for Microsoft Sentinel.

2. Stellen Sie sicher, dass Die Onapsis-Konsole den Proxycomputer erreichen kann, auf dem der Agent installiert ist. Die Protokolle sollten mit TCP an Port 514 gesendet werden.

OSSEC

Führen Sie die folgenden Schritte aus, um OSSEC-Sendewarnungen über syslog zu konfigurieren.

Palo Alto - XDR (Cortex)

Konfigurieren Sie Palo Alto XDR (Cortex), um Nachrichten im CEF-Format über den Syslog-Agent an Ihren Microsoft Sentinel-Arbeitsbereich weiterzuleiten.

1. Wechseln Sie zu Cortex-Einstellungen und -Konfigurationen.
2. Select to add New Server under External Applications.
3. Then specify the name and give the public IP of your syslog server in Destination.
4. Give Port number as 514.
5. From Facility field, select FAC_SYSLOG from dropdown.
6. Select Protocol as UDP.
7. Select Create.

PaloAlto-PAN-OS

Konfigurieren Sie Palo Alto Networks so, dass Syslog-Nachrichten im CEF-Format über den Syslog-Agent an Ihren Microsoft Sentinel-Arbeitsbereich weitergeleitet werden.

1. Konfigurieren Sie Palo Alto Networks NGFW für das Senden von CEF-Ereignissen.

2. Wechseln Sie zu Palo Alto CEF Configuration und Palo Alto Configure Syslog Monitoring steps 2, 3, choose your version, and follow the instructions using the following guidelines:

   1. Legen Sie das Syslog-Serverformat auf BSD fest.
   2. Kopieren Sie den Text in einen Editor, und entfernen Sie alle Zeichen, die das Protokollformat unterbrechen könnten, bevor Sie ihn einfügen. Bei den Kopieren/Einfügen-Vorgängen aus der PDF-Datei kann es vorkommen, dass Text geändert wird und zufällige Zeichen eingefügt werden.

Learn more

PaloAltoCDL

Befolgen Sie die Anweisungen zum Konfigurieren der Protokollweiterleitung von Cortex Data Lake zu einem Syslog Server.

PingFederate

Führen Sie die folgenden Schritte aus, um das Senden des Überwachungsprotokolls durch PingFederate über Syslog im CEF-Format zu konfigurieren.

RidgeSecurity

Configure the RidgeBot to forward events to syslog server as described here. Generieren Sie ein paar Angriffsereignisse für Ihre Anwendung.

SonicWall Firewall

Legen Sie Ihre SonicWall Firewall so fest, dass Syslog-Nachrichten im CEF-Format an den Proxycomputer gesendet werden. Die Protokolle müssen über TCP-Port 514 an die IP-Adresse des Computers gesendet werden.

Follow instructions. Stellen Sie dann sicher, dass Sie die lokale Verwendung 4 als Facility auswählen. Wählen Sie dann ArcSight als Syslog-Format aus.

Trend Micro Apex One

Führen Sie die folgenden Schritte aus, um Apex Central zu konfigurieren, die Warnungen über syslog senden. While configuring, on step 6, select the log format CEF.

Trend Micro Deep Security

Legen Sie Ihre Sicherheitslösung fest, um Syslog-Nachrichten im CEF-Format an den Proxycomputer zu senden. Die Protokolle müssen über den TCP-Port 514 der IP-Adresse des Computers gesendet werden.

1. Forward Trend Micro Deep Security-Ereignisse an den Syslog-Agent.
2. Definieren Sie eine neue Syslog-Konfiguration, die das CEF-Format verwendet, indem Sie auf diesen Wissensartikel verweisen, um weitere Informationen zu erhalten.
3. Konfigurieren Sie den Deep Security Manager so, dass diese neue Konfiguration verwendet wird, um Ereignisse mithilfe dieser Anweisungen an den Syslog-Agent weiterzuleiten.
4. Make sure to save the TrendMicroDeepSecurity function so that it queries the Trend Micro Deep Security data properly.

Trend Micro TippingPoint

Legen Sie Ihre TippingPoint-SMS so fest, dass Syslog-Nachrichten im ArcSight CEF Format v4.2-Format an den Proxycomputer gesendet werden. Die Protokolle müssen über TCP-Port 514 an die IP-Adresse des Computers gesendet werden.

vArmour Application Controller

Senden Sie Syslog-Nachrichten im CEF-Format an den Proxycomputer. Die Protokolle müssen über TCP-Port 514 an die IP-Adresse des Computers gesendet werden.

Laden Sie das Benutzerhandbuch von https://support.varmour.com/hc/en-us/articles/360057444831-vArmour-Application-Controller-6-0-User-Guide herunter. Lesen Sie in der Anleitung "Konfigurieren von Syslog für Überwachung und Verstöße" und führen Sie die Schritte 1 bis 3 aus.

Vectra AI Detect

Konfigurieren Sie den Vectra-Agent (X Series), um Syslog-Nachrichten im CEF-Format über den Syslog-Agent an Ihren Microsoft Sentinel-Arbeitsbereich weiterzuleiten.

Navigieren Sie auf der Vectra-Benutzeroberfläche zu "Einstellungsbenachrichtigungen > " und "Syslog-Konfiguration bearbeiten". Folgen Sie den unten stehenden Anweisungen, um die Verbindung herzustellen:

1. Fügen Sie ein neues Ziel hinzu (das ist der Host, auf dem der Syslog-Agent von Microsoft Sentinel ausgeführt wird).
2. Set the Port as 514.
3. Set the Protocol as UDP.
4. Set the format to CEF.
5. Set Log types. Wählen Sie alle verfügbaren Protokolltypen aus.
6. Select on Save.
7. Select the Test button to send some test events.

Weitere Informationen finden Sie im Syslog-Leitfaden zu Cognito Detect, den Sie auf der Ressourcenseite der Benutzeroberfläche von Detect herunterladen können.

Votiro

Legen Sie Votiro-Endpunkte fest, um Syslog-Nachrichten im CEF-Format an den Weiterleitungscomputer zu senden. Stellen Sie sicher, dass Sie die Protokolle an Port 514 TCP auf der IP-Adresse des Weiterleitungscomputers senden.

Forensische WireX-Netzwerkplattform

Wenden Sie sich an den WireX-Support (https://wirexsystems.com/contact-us/), um Ihre NFP-Lösung so zu konfigurieren, dass Syslog-Nachrichten im CEF-Format an den Proxycomputer gesendet werden. Stellen Sie sicher, dass der zentrale Manager die Protokolle an Port 514 TCP an die IP-Adresse des Computers senden kann.

WithSecure-Elemente über Connector

Verbinden Sie Ihre WithSecure Elements Connector-Appliance mit Microsoft Sentinel. Mit dem WithSecure Elements Connector-Datenconnector können Sie ihre WithSecure Elements-Protokolle ganz einfach mit Microsoft Sentinel verbinden, Dashboards anzeigen, benutzerdefinierte Warnungen erstellen und die Untersuchung verbessern.

Konfigurieren Sie mit Secure Elements Connector, um Syslog-Nachrichten im CEF-Format über den Syslog-Agent an Ihren Log Analytics-Arbeitsbereich weiterzuleiten.

1. Wählen Oder erstellen Sie einen Linux-Computer für Microsoft Sentinel, der als Proxy zwischen Ihrer WithSecurity-Lösung und Microsoft Sentinel verwendet werden soll. Der Computer kann eine lokale Umgebung, Microsoft Azure oder eine andere cloudbasierte Umgebung sein. Unter Linux müssen syslog-ng und python/python3 installiert sein.
2. Installieren Sie den Azure Monitoring Agent (AMA) auf Ihrem Linux-Computer, und konfigurieren Sie den Computer, um den erforderlichen Port zu überwachen und Nachrichten an Ihren Microsoft Sentinel-Arbeitsbereich weiterzuleiten. Der CEF-Collector sammelt CEF-Nachrichten am TCP-Port 514. Sie müssen über erhöhte Berechtigungen (sudo) auf dem Computer verfügen.
3. Go to EPP in WithSecure Elements Portal. Then navigate to Downloads. In Elements Connector section, select Create subscription key. You can check your subscription key in Subscriptions.
4. In Downloads in WithSecure Elements Connector section, select the correct installer and download it.
5. Wenn Sie sich in EPP befinden, öffnen Sie die Kontoeinstellungen in der oberen rechten Ecke. Wählen Sie dann " Verwaltungs-API-Schlüssel abrufen" aus. Wenn der Schlüssel zuvor erstellt wurde, kann er auch dort gelesen werden.
6. Um den Elements Connector zu installieren, folgen Sie den Elementen Connector-Dokumenten.
7. Wenn der API-Zugriff während der Installation nicht konfiguriert ist, folgen Sie der Konfiguration des API-Zugriffs für den Elements Connector.
8. Go to EPP, then Profiles, then use For Connector from where you can see the connector profiles. Erstellen Sie ein neues Profil (oder bearbeiten Sie ein vorhandenes nicht schreibgeschütztes Profil). In Event forwarding, enable it. Set SIEM system address: 127.0.0.1:514. Legen Sie das Format auf das allgemeine Ereignisformat fest. Protocol is TCP. Save profile and assign it to Elements Connector in Devices tab.
9. To use the relevant schema in Log Analytics for the WithSecure Elements Connector, search for CommonSecurityLog.
10. Fahren Sie mit der Überprüfung Ihrer CEF-Konnektivität fort.

Zscaler

Legen Sie das Zscaler-Produkt so fest, dass Syslog-Nachrichten im CEF-Format an Ihren Syslog-Agent gesendet werden. Stellen Sie sicher, dass Sie die Protokolle an Port 514 TCP senden.

Weitere Informationen finden Sie im Microsoft Sentinel-Integrationshandbuch für Zscaler.

Related content

• Aufnehmen von Syslog- und CEF-Nachrichten an Microsoft Sentinel mit dem Azure Monitor-Agent
• Syslog über AMA und Common Event Format (CEF) über AMA Connectors für Microsoft Sentinel