Udostępnij przez

CEF za pośrednictwem łącznika danych usługi AMA — konfigurowanie określonego urządzenia lub urządzenia na potrzeby pozyskiwania danych usługi Microsoft Sentinel

Zbieranie dzienników z wielu urządzeń zabezpieczeń i urządzeń jest obsługiwane przez łącznik danych Common Event Format (CEF) za pośrednictwem łącznika danych usługi AMA w usłudze Microsoft Sentinel. W tym artykule wymieniono instrukcje instalacji dostarczone przez dostawcę dotyczące określonych urządzeń zabezpieczeń i urządzeń korzystających z tego łącznika danych. Skontaktuj się z dostawcą w celu uzyskania aktualizacji, więcej informacji lub miejsca, w którym informacje są niedostępne dla urządzenia lub urządzenia zabezpieczeń.

Aby pozyskać dane do obszaru roboczego usługi Log Analytics dla usługi Microsoft Sentinel, wykonaj kroki opisane w temacie Pozyskiwanie dzienników systemu i komunikatów CEF do usługi Microsoft Sentinel za pomocą agenta usługi Azure Monitor. Te kroki obejmują instalację formatu Common Event Format (CEF) za pośrednictwem łącznika danych usługi AMA w usłudze Microsoft Sentinel. Po zainstalowaniu łącznika użyj instrukcji odpowiednich dla urządzenia, jak pokazano w dalszej części tego artykułu, aby ukończyć instalację.

For more information about the related Microsoft Sentinel solution for each of these appliances or devices, search the Azure Marketplace for the Product Type>Solution Templates or review the solution from the Content hub in Microsoft Sentinel.

Important

Usługa Microsoft Sentinel jest ogólnie dostępna w portalu Microsoft Defender, w tym dla klientów bez licencji XDR usługi Microsoft Defender lub E5.

Starting in July 2026, all customers using Microsoft Sentinel in the Azure portal will be redirected to the Defender portal and will use Microsoft Sentinel in the Defender portal only. Starting in July 2025, many new customers are automatically onboarded and redirected to the Defender portal.

Jeśli nadal używasz usługi Microsoft Sentinel w witrynie Azure Portal, zalecamy rozpoczęcie planowania przejścia do portalu usługi Defender w celu zapewnienia bezproblemowego przejścia i pełnego wykorzystania ujednoliconego środowiska operacji zabezpieczeń oferowanego przez usługę Microsoft Defender. Aby uzyskać więcej informacji, zobacz It's Time to Move: Retiring Microsoft Sentinel's Azure Portal for greater security (Przenoszenie: wycofywanie witryny Azure Portal usługi Microsoft Sentinel w celu zwiększenia bezpieczeństwa).

Analityk sztucznej inteligencji — darktrace

Skonfiguruj funkcję Darktrace, aby przekazywać komunikaty dziennika systemowego w formacie CEF do obszaru roboczego platformy Azure za pośrednictwem agenta dziennika systemowego.

  1. Within the Darktrace Threat Visualizer, navigate to the System Config page in the main menu under Admin.
  2. From the left-hand menu, select Modules and choose Microsoft Sentinel from the available Workflow Integrations.
  3. Locate Microsoft Sentinel syslog CEF and select New to reveal the configuration settings, unless already exposed.
  4. In the Server configuration field, enter the location of the log forwarder and optionally modify the communication port. Upewnij się, że wybrany port ma wartość 514 i jest dozwolony przez wszystkie zapory pośrednie.
  5. Skonfiguruj wszelkie progi alertów, przesunięcia czasu lub inne ustawienia zgodnie z potrzebami.
  6. Przejrzyj inne opcje konfiguracji, które można włączyć, aby zmienić składnię dziennika systemowego.
  7. Enable Send Alerts and save your changes.

Zdarzenia zabezpieczeń Akamai

Wykonaj następujące kroki , aby skonfigurować łącznik Akamai CEF do wysyłania komunikatów dziennika systemowego w formacie CEF do maszyny proxy. Upewnij się, że dzienniki są wysyłane do portu 514 TCP na adres IP maszyny.

AristaAwakeSecurity

Complete the following steps to forward Awake Adversarial Model match results to a CEF collector listening on TCP port 514 at IP 192.168.0.1:

  1. Przejdź do strony Umiejętności zarządzania wykrywaniem w interfejsie użytkownika aplikacji Awake.
  2. Wybierz pozycję + Dodaj nową umiejętność.
  3. Set Expression to integrations.cef.tcp { destination: "192.168.0.1", port: 514, secure: false, severity: Warning }
  4. Set Title to a descriptive name like, Forward Awake Adversarial Model match result to Microsoft Sentinel.
  5. Set Reference Identifier to something easily discoverable like, integrations.cef.sentinel-forwarder.
  6. Select Save.

W ciągu kilku minut od zapisania definicji i innych pól system zacznie wysyłać nowe wyniki dopasowania modelu do modułu zbierającego zdarzenia CEF w miarę ich wykrywania.

Aby uzyskać więcej informacji, zobacz stronę Dodawanie informacji o zabezpieczeniach i zarządzania zdarzeniami — integracja wypychana z dokumentacji pomocy w interfejsie użytkownika aplikacji Awake.

Aruba ClearPass

Skonfiguruj aplikację Eso ClearPass, aby przekazywać komunikaty dziennika systemowego w formacie CEF do obszaru roboczego usługi Microsoft Sentinel za pośrednictwem agenta dziennika systemowego.

  1. Postępuj zgodnie z tymi instrukcjami , aby skonfigurować bibliotekę ClearPass w celu przesyłania dalej dziennika systemowego.
  2. Use the IP address or hostname for the Linux device with the Linux agent installed as the Destination IP address.

Barracuda WAF

Zapora aplikacji internetowej Barracuda może integrować się z dziennikami i eksportować je bezpośrednio do usługi Microsoft Sentinel za pośrednictwem agenta monitorowania platformy Azure (AMA).

  1. Przejdź do konfiguracji zapory aplikacji internetowej Barracuda i postępuj zgodnie z instrukcjami, korzystając z następujących parametrów, aby skonfigurować połączenie.

  2. Web Firewall logs facility: Go to the advanced settings for your workspace and on the Data>Syslog tabs. Upewnij się, że obiekt istnieje.

Zwróć uwagę, że dane ze wszystkich regionów są przechowywane w wybranym obszarze roboczym.

Broadcom SymantecDLP

Skonfiguruj program Symantec DLP, aby przekazywać komunikaty dziennika systemu w formacie CEF do obszaru roboczego usługi Microsoft Sentinel za pośrednictwem agenta dziennika systemowego.

  1. Postępuj zgodnie z tymi instrukcjami , aby skonfigurować program Symantec DLP do przesyłania dalej dziennika systemowego
  2. Use the IP address or hostname for the Linux device with the Linux agent installed as the Destination IP address.

Cisco Firepower EStreamer

Zainstaluj i skonfiguruj klienta eStreamer Firepower eNcore. For more information, see the full install guide.

CiscoSEG

Wykonaj następujące kroki, aby skonfigurować bramę Cisco Secure Email Gateway do przekazywania dzienników za pośrednictwem dziennika systemowego:

  1. Configure Log Subscription.
  2. Wybierz pozycję Skonsolidowane dzienniki zdarzeń w polu Typ dziennika.

Zapora aplikacji internetowej Citrix

Skonfiguruj zaporę aplikacji internetowej Citrix w celu wysyłania komunikatów dziennika systemowego w formacie CEF do maszyny proxy.

  • Find guides to configure WAF and CEF logs from Citrix Support.

  • Follow this guide to forward the logs to proxy. Upewnij się, że dzienniki są wysyłane do portu 514 TCP na adres IP maszyny z systemem Linux.

Claroty

Konfigurowanie przekazywania dzienników przy użyciu formatu CEF.

  1. Navigate to the Syslog section of the Configuration menu.
  2. Select +Add.
  3. W oknie dialogowym Dodawanie nowego dziennika systemowego określ adres IP serwera zdalnego, port, protokół.
  4. Select Message Format - CEF.
  5. Choose Save to exit the Add Syslog dialog.

Contrast Protect

Skonfiguruj agenta Programu Contrast Protect, aby przekazywać zdarzenia do dziennika systemowego zgodnie z opisem w tym miejscu: https://docs.contrastsecurity.com/en/output-to-syslog.html. Wygeneruj zdarzenia ataku dla aplikacji.

CrowdStrike Falcon

Wdróż moduł zbierający CrowdStrike Falcon SIEM, aby przekazywać komunikaty dziennika systemu w formacie CEF do obszaru roboczego usługi Microsoft Sentinel za pośrednictwem agenta dziennika systemowego.

  1. Postępuj zgodnie z tymi instrukcjami , aby wdrożyć moduł zbierający SIEM i przekazać dziennik systemowy.
  2. Użyj adresu IP lub nazwy hosta dla urządzenia z systemem Linux z agentem systemu Linux zainstalowanym jako docelowy adres IP.

Zdarzenia usługi CyberArk Enterprise Password Vault (EPV)

W protokole EPV skonfiguruj dbparm.ini do wysyłania komunikatów dziennika systemowego w formacie CEF do maszyny proxy. Upewnij się, że dzienniki są wysyłane do portu 514 TCP na adresIE IP maszyn.

Delinea Secret Server

Ustaw rozwiązanie zabezpieczeń, aby wysyłać komunikaty dziennika systemowego w formacie CEF do maszyny proxy. Upewnij się, że dzienniki są wysyłane do portu 514 TCP na adres IP maszyny.

ExtraHop Reveal(x)

Ustaw rozwiązanie zabezpieczeń, aby wysyłać komunikaty dziennika systemowego w formacie CEF do maszyny proxy. Pamiętaj, aby wysłać dzienniki do portu 514 TCP na adres IP maszyny.

  1. Postępuj zgodnie z instrukcjami, aby zainstalować pakiet łącznika SIEM wykrywania ekstrahop w systemie Reveal(x). The SIEM Connector is required for this integration.
  2. Włącz wyzwalacz dla łącznika SIEM wykrywania ekstrahop — CEF.
  3. Zaktualizuj wyzwalacz za pomocą utworzonych obiektów docelowych dziennika systemu ODS. 

System Reveal(x) formatuje komunikaty dziennika systemowego w formacie Common Event Format (CEF), a następnie wysyła dane do usługi Microsoft Sentinel.

F5 Networks

Skonfiguruj F5, aby przekazywać komunikaty dziennika systemowego w formacie CEF do obszaru roboczego usługi Microsoft Sentinel za pośrednictwem agenta dziennika systemowego.

Przejdź do pozycji F5 Konfigurowanie rejestrowania zdarzeń zabezpieczeń aplikacji, postępuj zgodnie z instrukcjami konfigurowania rejestrowania zdalnego, korzystając z następujących wskazówek:

  1. Ustaw typ magazynu zdalnego na CEF.
  2. Set the Protocol setting to UDP.
  3. Set the IP address to the syslog server IP address.
  4. Set the port number to 514, or the port your agent uses.
  5. Set the facility to the one that you configured in the syslog agent. By default, the agent sets this value to local4.
  6. Można ustawić maksymalny rozmiar ciągu zapytania na taki sam jak skonfigurowany.

FireEye Network Security

Wykonaj następujące kroki, aby wysłać dane przy użyciu formatu CEF:

  1. Zaloguj się do urządzenia FireEye przy użyciu konta administratora.

  2. Select Settings.

  3. Select Notifications. Select rsyslog.

  4. Check the Event type check box.

  5. Upewnij się, że ustawienia rsyslog to:

    • Default format: CEF
    • Default delivery: Per event
    • Default send as: Alert

Forcepoint CASB

Ustaw rozwiązanie zabezpieczeń, aby wysyłać komunikaty dziennika systemowego w formacie CEF do maszyny proxy. Upewnij się, że dzienniki są wysyłane do portu 514 TCP na adres IP maszyny.

Forcepoint CSG

Integracja jest udostępniana za pomocą dwóch opcji implementacji:

  1. Używa obrazów platformy Docker, w których składnik integracji jest już zainstalowany ze wszystkimi niezbędnymi zależnościami. Follow the instructions provided in the Integration Guide.
  2. Wymaga ręcznego wdrożenia składnika integracji na czystej maszynie z systemem Linux. Follow the instructions provided in the Integration Guide.

Forcepoint NGFW

Ustaw rozwiązanie zabezpieczeń, aby wysyłać komunikaty dziennika systemowego w formacie CEF do maszyny proxy. Upewnij się, że dzienniki są wysyłane do portu 514 TCP na adres IP maszyny.

ForgeRock Common Audit for CEF

W aplikacji ForgeRock zainstaluj i skonfiguruj tę wspólną inspekcję (CAUD) dla usługi Microsoft Sentinel zgodnie z dokumentacją pod adresem https://github.com/javaservlets/SentinelAuditEventHandler. Następnie na platformie Azure wykonaj kroki konfigurowania formatu CEF za pośrednictwem łącznika danych usługi AMA.

Fortinet

Ustaw wartość Fortinet, aby wysyłać komunikaty dziennika systemowego w formacie CEF do maszyny proxy. Upewnij się, że dzienniki są wysyłane do portu 514 TCP na adresIE IP maszyny.

Skopiuj poniższe polecenia interfejsu wiersza polecenia i:

  • Zastąp ciąg "adres< IP serwera>" adresem IP agenta usługi Syslog.
  • Ustaw wartość "<facility_name>", aby użyć obiektu skonfigurowanego w agencie syslogu (domyślnie agent ustawia go na wartość local4).
  • Ustaw port dziennika systemowego na 514, a port używany przez agenta.
  • Aby włączyć format CEF we wczesnych wersjach fortiOS, może być konieczne uruchomienie polecenia "set csv disable".
    Aby uzyskać więcej informacji, przejdź do biblioteki dokumentów Fortinet, wybierz swoją wersję i użyj plików PDF "Podręcznik" i "Dokumentacja komunikatów dziennika".

Dowiedz się więcej >

Skonfiguruj połączenie przy użyciu interfejsu wiersza polecenia, aby uruchomić następujące polecenia: config log syslogd setting/n set status enable/nset format cef/nset port 514/nset server <ip_address_of_Receiver>/nend

iboss

Ustaw konsolę zagrożeń, aby wysyłać komunikaty dziennika systemowego w formacie CEF do obszaru roboczego platformy Azure. Make note of your Workspace ID and Primary Key within your Log Analytics workspace. Wybierz obszar roboczy z menu Obszary robocze usługi Log Analytics w witrynie Azure Portal. Then select Agents management in the Settings section.

  1. Przejdź do obszaru Raportowanie i analiza w konsoli iboss.
  2. Select Log Forwarding>Forward From Reporter.
  3. Select Actions>Add Service.
  4. Toggle to Microsoft Sentinel as a Service Type and input your Workspace ID/Primary Key along with other criteria. If a dedicated proxy Linux machine was configured, toggle to Syslog as a Service Type and configure the settings to point to your dedicated proxy Linux machine.
  5. Poczekaj od jednej do dwóch minut, aż konfiguracja zostanie ukończona.
  6. Wybierz usługę Microsoft Sentinel i sprawdź, czy stan konfiguracji usługi Microsoft Sentinel zakończył się pomyślnie. Jeśli skonfigurowano dedykowany serwer proxy z systemem Linux, możesz zweryfikować połączenie.

Illumio Core

Konfigurowanie formatu zdarzenia.

  1. W menu konsoli sieci Web PCE wybierz pozycję Ustawienia > ustawień zdarzeń , aby wyświetlić bieżące ustawienia.
  2. Select Edit to change the settings.
  3. Set Event Format to CEF.
  4. (Optional) Configure Event Severity and Retention Period.

Skonfiguruj przekazywanie zdarzeń do zewnętrznego serwera syslog.

  1. From the PCE web console menu, choose Settings>Event Settings.
  2. Select Add.
  3. Select Add Repository.
  4. Complete the Add Repository dialog.
  5. Select OK to save the event forwarding configuration.

Illusive Platform

  1. Ustaw rozwiązanie zabezpieczeń, aby wysyłać komunikaty dziennika systemowego w formacie CEF do maszyny proxy. Upewnij się, że dzienniki są wysyłane do portu 514 TCP na adres IP maszyny.

  2. Sign into the Illusive Console, and navigate to Settings>Reporting.

  3. Find Syslog Servers.

  4. Wprowadź następujące informacje:

    • Nazwa hosta: adres IP agenta syslog systemu Linux lub nazwa hosta FQDN
    • Port: 514
    • Protocol: TCP
    • Komunikaty inspekcji: wysyłanie komunikatów inspekcji do serwera

  5. To add the syslog server, select Add.

Aby uzyskać więcej informacji na temat dodawania nowego serwera syslog na platformie Illusive, zobacz Illusive Networks Admin Guide w tym miejscu: https://support.illusivenetworks.com/hc/en-us/sections/360002292119-Documentation-by-Version

Imperva Brama zapory aplikacji internetowej

This connector requires an Action Interface and Action Set to be created on the Imperva SecureSphere MX. Wykonaj kroki , aby utworzyć wymagania.

  1. Create a new Action Interface that contains the required parameters to send WAF alerts to Microsoft Sentinel.
  2. Create a new Action Set that uses the Action Interface configured.
  3. Zastosuj zestaw akcji do wszystkich zasad zabezpieczeń, które mają być wysyłane do usługi Microsoft Sentinel.

Łącznik danych w chmurze infoblox

Wykonaj poniższe kroki, aby skonfigurować centrum CDC systemu Infoblox w celu wysyłania danych bloxOne do usługi Microsoft Sentinel za pośrednictwem agenta dziennika systemowego systemu Linux.

  1. Navigate to Manage>Data Connector.
  2. Select the Destination Configuration tab at the top.
  3. Wybierz pozycję Utwórz > dziennik systemowy.
    • Name: Give the new Destination a meaningful name, such as Microsoft-Sentinel-Destination.
    • Description: Optionally give it a meaningful description.
    • State: Set the state to Enabled.
    • Format: Set the format to CEF.
    • FQDN/IP: Enter the IP address of the Linux device on which the Linux agent is installed.
    • Port: Leave the port number at 514.
    • Protocol: Select desired protocol and CA certificate if applicable.
    • Wybierz pozycję Zapisz i zamknij.
  4. Wybierz kartę Konfiguracja przepływu ruchu u góry.
  5. Select Create.
    • Name: Give the new Traffic Flow a meaningful name, such as Microsoft-Sentinel-Flow.
    • Description: Optionally give it a meaningful description.
    • State: Set the state to Enabled.
    • Expand the Service Instance section.
      • Service Instance: Select your desired Service Instance for which the Data Connector service is enabled.
    • Expand the Source Configuration section.
      • Source: Select BloxOne Cloud Source.
      • Select all desired log types you wish to collect. Obecnie obsługiwane typy dzienników to:
        • Dziennik zapytań/odpowiedzi usługi Threat Defense
        • Dziennik kanałów zagrożeń usługi Threat Defense
        • Dziennik zapytań/odpowiedzi DDI
        • Dziennik dzierżawy DHCP DDI
    • Expand the Destination Configuration section.
      • Select the Destination you created.
    • Wybierz pozycję Zapisz i zamknij.
  6. Poczekaj na aktywowanie konfiguracji.

Infoblox SOC Insights

Wykonaj poniższe kroki, aby skonfigurować centrum CDC systemu Infoblox w celu wysyłania danych bloxOne do usługi Microsoft Sentinel za pośrednictwem agenta dziennika systemowego systemu Linux.

  1. Przejdź do obszaru Zarządzanie łącznikiem > danych.
  2. Select the Destination Configuration tab at the top.
  3. Wybierz pozycję Utwórz > dziennik systemowy.
    • Name: Give the new Destination a meaningful name, such as Microsoft-Sentinel-Destination.
    • Description: Optionally give it a meaningful description.
    • State: Set the state to Enabled.
    • Format: Set the format to CEF.
    • FQDN/IP: Enter the IP address of the Linux device on which the Linux agent is installed.
    • Port: Leave the port number at 514.
    • Protocol: Select desired protocol and CA certificate if applicable.
    • Wybierz pozycję Zapisz i zamknij.
  4. Wybierz kartę Konfiguracja przepływu ruchu u góry.
  5. Select Create.
    • Name: Give the new Traffic Flow a meaningful name, such as Microsoft-Sentinel-Flow.
    • Description: Optionally give it a meaningful description.
    • State: Set the state to Enabled.
    • Expand the Service Instance section.
      • Service Instance: Select your desired service instance for which the data connector service is enabled.
    • Expand the Source Configuration section.
      • Source: Select BloxOne Cloud Source.
      • Select the Internal Notifications Log Type.
    • Expand the Destination Configuration section.
      • Select the Destination you created.
    • Wybierz pozycję Zapisz i zamknij.
  6. Poczekaj na aktywowanie konfiguracji.

KasperskySecurityCenter

Postępuj zgodnie z instrukcjami , aby skonfigurować eksport zdarzeń z Kaspersky Security Center.

Morphisec

Ustaw rozwiązanie zabezpieczeń, aby wysyłać komunikaty dziennika systemowego w formacie CEF do maszyny proxy. Upewnij się, że dzienniki są wysyłane do portu 514 TCP na adres IP maszyny.

Netwrix Auditor

Postępuj zgodnie z instrukcjami , aby skonfigurować eksport zdarzeń z Netwrix Auditor.

NozomiNetworks

Wykonaj następujące kroki, aby skonfigurować urządzenie Nozomi Networks do wysyłania alertów, inspekcji i dzienników kondycji za pośrednictwem dziennika systemowego w formacie CEF:

  1. Zaloguj się do konsoli Guardian.
  2. Navigate to Administration>Data Integration.
  3. Select +Add.
  4. Wybierz z listy rozwijanej pozycję Common Event Format (CEF).
  5. Create New Endpoint using the appropriate host information.
  6. Enable Alerts, Audit Logs, and Health Logs for sending.

Onapsis Platform

Zapoznaj się z pomocą dotyczącą dołączania w produkcie, aby skonfigurować przekazywanie dzienników do agenta dziennika systemowego.

  1. Go to Setup>Third-party integrations>Defend Alarms and follow the instructions for Microsoft Sentinel.

  2. Upewnij się, że konsola onapsis może nawiązać dostęp do maszyny serwera proxy, na której zainstalowano agenta. Dzienniki powinny być wysyłane do portu 514 przy użyciu protokołu TCP.

OSSEC

Wykonaj następujące kroki , aby skonfigurować wysyłanie alertów przez protokół OSSEC za pośrednictwem dziennika systemowego.

Palo Alto - XDR (Cortex)

Skonfiguruj aplikację Palo Alto XDR (Cortex) do przekazywania komunikatów w formacie CEF do obszaru roboczego usługi Microsoft Sentinel za pośrednictwem agenta dziennika systemowego.

  1. Przejdź do pozycji Ustawienia i konfiguracje cortex.
  2. Select to add New Server under External Applications.
  3. Then specify the name and give the public IP of your syslog server in Destination.
  4. Give Port number as 514.
  5. From Facility field, select FAC_SYSLOG from dropdown.
  6. Select Protocol as UDP.
  7. Select Create.

PaloAlto-PAN-OS

Skonfiguruj aplikację Palo Alto Networks, aby przekazywać komunikaty dziennika systemowego w formacie CEF do obszaru roboczego usługi Microsoft Sentinel za pośrednictwem agenta dziennika systemowego.

  1. Przejdź do konfigurowania aplikacji Palo Alto Networks NGFW na potrzeby wysyłania zdarzeń CEF.

  2. Przejdź do pozycji Palo Alto CEF Configuration i Palo Alto Configure Syslog Monitoring steps 2, 3, wybierz swoją wersję i postępuj zgodnie z instrukcjami, korzystając z następujących wskazówek:

    1. Ustaw format serwera Syslog na BSD.
    2. Skopiuj tekst do edytora i usuń wszelkie znaki, które mogą spowodować przerwanie formatu dziennika przed wklejaniem go. Operacje kopiowania/wklejania z pliku PDF mogą zmieniać tekst i wstawiać losowe znaki.

Learn more

PaloAltoCDL

Postępuj zgodnie z instrukcjami , aby skonfigurować przekazywanie dzienników z usługi Cortex Data Lake do serwera syslog.

PingFederate

Wykonaj następujące kroki , aby skonfigurować polecenie PingFederate wysyłający dziennik inspekcji za pośrednictwem dziennika systemowego w formacie CEF.

RidgeSecurity

Configure the RidgeBot to forward events to syslog server as described here. Wygeneruj zdarzenia ataku dla aplikacji.

SonicWall Firewall

Ustaw zaporę SonicWall tak, aby wysyłała komunikaty dziennika systemowego w formacie CEF do maszyny proxy. Upewnij się, że dzienniki są wysyłane do portu 514 TCP na adresIE IP maszyny.

Follow instructions. Następnie upewnij się, że wybrano opcję lokalnego użycia 4 jako obiektu. Następnie wybierz pozycję ArcSight jako format dziennika systemowego.

Trend Micro Apex One

Wykonaj następujące kroki , aby skonfigurować usługę Apex Central wysyłającą alerty za pośrednictwem dziennika systemowego. While configuring, on step 6, select the log format CEF.

Trend Micro Deep Security

Ustaw rozwiązanie zabezpieczeń, aby wysyłać komunikaty dziennika systemowego w formacie CEF do maszyny proxy. Pamiętaj, aby wysłać dzienniki do portu 514 TCP na adres IP maszyny.

  1. Przekazywanie zdarzeń usługi Trend Micro Deep Security do agenta dziennika systemowego.
  2. Zdefiniuj nową konfigurację dziennika systemowego korzystającą z formatu CEF, odwołując się do tego artykułu merytorycznego , aby uzyskać dodatkowe informacje.
  3. Skonfiguruj Menedżera zabezpieczeń zaawansowanej , aby używać tej nowej konfiguracji do przekazywania zdarzeń do agenta dziennika systemowego, korzystając z tych instrukcji.
  4. Make sure to save the TrendMicroDeepSecurity function so that it queries the Trend Micro Deep Security data properly.

Trend Micro TippingPoint

Ustaw program TippingPoint SMS, aby wysyłać komunikaty dziennika systemowego w formacie CEF usługi ArcSight w wersji 4.2 na maszynę proxy. Upewnij się, że dzienniki są wysyłane do portu 514 TCP na adres IP maszyny.

vArmour Application Controller

Wysyłanie komunikatów dziennika systemowego w formacie CEF do maszyny proxy. Upewnij się, że dzienniki są wysyłane do portu 514 TCP na adres IP maszyny.

Pobierz podręcznik użytkownika z witryny https://support.varmour.com/hc/en-us/articles/360057444831-vArmour-Application-Controller-6-0-User-Guide. W przewodniku użytkownika zapoznaj się z tematem "Konfigurowanie dziennika systemowego pod kątem monitorowania i naruszeń" i wykonaj kroki od 1 do 3.

Wykrywanie sztucznej inteligencji Vectra

Skonfiguruj agenta Vectra (X Series) do przekazywania komunikatów dziennika systemowego w formacie CEF do obszaru roboczego usługi Microsoft Sentinel za pośrednictwem agenta dziennika systemowego.

W interfejsie użytkownika Vectra przejdź do pozycji Powiadomienia o ustawieniach > i Edytuj konfigurację dziennika systemowego. Postępuj zgodnie z poniższymi instrukcjami, aby skonfigurować połączenie:

  1. Dodaj nowe miejsce docelowe (czyli hosta, na którym działa agent syslog usługi Microsoft Sentinel).
  2. Set the Port as 514.
  3. Set the Protocol as UDP.
  4. Set the format to CEF.
  5. Set Log types. Wybierz wszystkie dostępne typy dzienników.
  6. Select on Save.
  7. Select the Test button to send some test events.

Aby uzyskać więcej informacji, zobacz Przewodnik po wykryciu dziennika systemowego cognito, który można pobrać ze strony zasobu w temacie Detect UI (Wykrywanie interfejsu użytkownika).

Votiro

Ustaw pozycję Punkty końcowe Votiro w celu wysyłania komunikatów dziennika systemowego w formacie CEF do maszyny usługi przesyłania dalej. Upewnij się, że dzienniki są wysyłane do portu 514 TCP na adres IP maszyny usługi przesyłania dalej.

WireX Network Forensics Platform

Skontaktuj się z pomocą techniczną WireX (https://wirexsystems.com/contact-us/) w celu skonfigurowania rozwiązania NFP w celu wysyłania komunikatów dziennika systemowego w formacie CEF do maszyny proxy. Upewnij się, że menedżer centralny może wysyłać dzienniki do portu 514 TCP na adres IP maszyny.

WithSecure Elements via Connector

Połącz urządzenie WithSecure Elements Connector z usługą Microsoft Sentinel. Łącznik danych WithSecure Elements Connector umożliwia łatwe łączenie dzienników withSecure Elements z usługą Microsoft Sentinel w celu wyświetlania pulpitów nawigacyjnych, tworzenia alertów niestandardowych i ulepszania badania.

Note

Dane są przechowywane w lokalizacji geograficznej obszaru roboczego, w którym jest uruchomiona usługa Microsoft Sentinel.

Skonfiguruj za pomocą łącznika Secure Elements w celu przekazywania komunikatów dziennika systemowego w formacie CEF do obszaru roboczego usługi Log Analytics za pośrednictwem agenta dziennika systemowego.

  1. Wybierz lub utwórz maszynę z systemem Linux dla usługi Microsoft Sentinel, która będzie używana jako serwer proxy między rozwiązaniem WithSecurity i usługą Microsoft Sentinel. Maszyna może być środowiskiem lokalnym, platformą Microsoft Azure lub innym środowiskiem opartym na chmurze. System Linux musi być syslog-ng zainstalowany i python/python3 zainstalowany.
  2. Zainstaluj agenta monitorowania platformy Azure (AMA) na maszynie z systemem Linux i skonfiguruj maszynę do nasłuchiwania na wymaganym porcie i przekazywania komunikatów do obszaru roboczego usługi Microsoft Sentinel. Moduł zbierający CEF zbiera komunikaty CEF na porcie 514 TCP. Musisz mieć uprawnienia z podwyższonym poziomem uprawnień (sudo) na maszynie.
  3. Go to EPP in WithSecure Elements Portal. Then navigate to Downloads. In Elements Connector section, select Create subscription key. You can check your subscription key in Subscriptions.
  4. In Downloads in WithSecure Elements Connector section, select the correct installer and download it.
  5. W witrynie EPP otwórz ustawienia konta w prawym górnym rogu. Następnie wybierz pozycję Pobierz klucz interfejsu API zarządzania. Jeśli klucz został utworzony wcześniej, można go również odczytać.
  6. Aby zainstalować łącznik Elementów, postępuj zgodnie z instrukcjami Łącznik elementów Docs.
  7. Jeśli dostęp do interfejsu API nie jest skonfigurowany podczas instalacji, postępuj zgodnie z instrukcjami Konfigurowanie dostępu interfejsu API dla łącznika elementów.
  8. Go to EPP, then Profiles, then use For Connector from where you can see the connector profiles. Utwórz nowy profil (lub edytuj istniejący profil nie tylko do odczytu). In Event forwarding, enable it. Set SIEM system address: 127.0.0.1:514. Ustaw format na Common Event Format. Protocol is TCP. Save profile and assign it to Elements Connector in Devices tab.
  9. To use the relevant schema in Log Analytics for the WithSecure Elements Connector, search for CommonSecurityLog.
  10. Kontynuuj walidację łączności CEF.

Zscaler

Ustaw produkt Zscaler, aby wysyłać komunikaty dziennika systemowego w formacie CEF do agenta dziennika systemowego. Upewnij się, że dzienniki są wysyłane na porcie 514 TCP.

Aby uzyskać więcej informacji, zobacz Przewodnik integracji rozwiązania Zscaler Microsoft Sentinel.

Related content

  • Last updated on