Syslog عبر موصل بيانات AMA - تكوين جهاز أو جهاز معين لاستيعاب بيانات Microsoft Sentinel

يتم دعم جمع السجل من العديد من أجهزة الأمان والأجهزة بواسطة Syslog عبر موصل بيانات AMA في Microsoft Sentinel. تسرد هذه المقالة إرشادات التثبيت التي يوفرها الموفر لأجهزة وأجهزة أمان معينة تستخدم موصل البيانات هذا. اتصل بالموفر للحصول على تحديثات أو مزيد من المعلومات أو إذا كانت المعلومات غير متوفرة لجهاز الأمان أو الجهاز.

لإعادة توجيه البيانات إلى مساحة عمل Log Analytics ل Microsoft Sentinel، أكمل الخطوات الواردة في Ingest syslog ورسائل CEF إلى Microsoft Sentinel باستخدام عامل Azure Monitor. أثناء إكمال هذه الخطوات، قم بتثبيت Syslog عبر موصل بيانات AMA في Microsoft Sentinel. بعد ذلك، استخدم إرشادات الموفر المناسب في هذه المقالة لإكمال الإعداد.

لمزيد من المعلومات حول حل Microsoft Sentinel ذي الصلة لكل جهاز من هذه الأجهزة أو الأجهزة، ابحث في Azure Marketplace عن قوالب حل نوع>المنتج أو راجع الحل من مركز المحتوى في Microsoft Sentinel.

جدار حماية Barracuda CloudGen

اتبع الإرشادات لتكوين تدفق syslog. استخدم عنوان IP أو اسم المضيف لجهاز Linux مع تثبيت عامل Microsoft Sentinel لعنوان IP الوجهة.

BlackBerry CylancePROTECT

اتبع هذه الإرشادات لتكوين CylancePROTECT لإعادة توجيه syslog. استخدم عنوان IP أو اسم المضيف لجهاز Linux مع تثبيت عامل Linux كعنوان IP الوجهة.

Cisco Application Centric Infrastructure (ACI)

تكوين نظام Cisco ACI لإرسال السجلات عبر syslog إلى الخادم البعيد حيث تقوم بتثبيت العامل. اتبع هذه الخطوات لتكوين وجهة Syslog ومجموعة الوجهة ومصدر Syslog.

تم تطوير موصل البيانات هذا باستخدام Cisco ACI Release 1.x.

Cisco Identity Services Engine (ISE)

اتبع هذه الإرشادات لتكوين مواقع مجموعة syslog عن بعد في نشر Cisco ISE.

ساعة Cisco الشبح

أكمل خطوات التكوين التالية للحصول على سجلات Cisco Stealthwatch في Microsoft Sentinel.

1. سجل الدخول إلى وحدة تحكم إدارة Stealthwatch (SMC) كمسؤول.

2. في شريط القوائم، حدد Configuration>Response Management.

3. من قسم Actions في قائمة Response Management، حدد Add > Syslog Message.

4. في نافذة Add Syslog Message Action ، قم بتكوين المعلمات.

5. أدخل التنسيق المخصص التالي:

   |Lancope|Stealthwatch|7.3|{alarm_type_id}|0x7C|src={source_ip}|dst={target_ip}|dstPort={port}|proto={protocol}|msg={alarm_type_description}|fullmessage={details}|start={start_active_time}|end={end_active_time}|cat={alarm_category_name}|alarmID={alarm_id}|sourceHG={source_host_group_names}|targetHG={target_host_group_names}|sourceHostSnapshot={source_url}|targetHostSnapshot={target_url}|flowCollectorName={device_name}|flowCollectorIP={device_ip}|domain={domain_name}|exporterName={exporter_hostname}|exporterIPAddress={exporter_ip}|exporterInfo={exporter_label}|targetUser={target_username}|targetHostname={target_hostname}|sourceUser={source_username}|alarmStatus={alarm_status}|alarmSev={alarm_severity_name}

6. حدد التنسيق المخصص من القائمة و OK.

7. حدد قواعد إدارة > الاستجابة.

8. حدد Add and Host Alarm.

9. أدخل اسم قاعدة في حقل الاسم .

10. قم بإنشاء قواعد عن طريق تحديد قيم من قائمتي النوع والخيارات. لإضافة المزيد من القواعد، حدد أيقونة علامة الحذف. بالنسبة إلى Host Alarm، اجمع أكبر عدد ممكن من الأنواع في عبارة قدر الإمكان.

تم تطوير موصل البيانات هذا باستخدام Cisco Stealthwatch الإصدار 7.3.2

Cisco Unified Computing Systems (UCS)

اتبع هذه الإرشادات لتكوين Cisco UCS لإعادة توجيه syslog. استخدم عنوان IP أو اسم المضيف لجهاز Linux مع تثبيت عامل Linux كعنوان IP الوجهة.

جهاز أمان الويب (WSA) في Cisco

تكوين Cisco لإعادة توجيه السجلات عبر syslog إلى الخادم البعيد حيث تقوم بتثبيت العامل. اتبع هذه الخطوات لتكوين Cisco WSA لإعادة توجيه السجلات عبر Syslog

حدد Syslog Push كطريقة استرداد.

تم تطوير موصل البيانات هذا باستخدام AsyncOS 14.0 ل Cisco Web Security Appliance

Citrix Application Delivery Controller (ADC)

تكوين Citrix ADC (NetScaler السابق) لإعادة توجيه السجلات عبر Syslog.

1. انتقل إلى علامة التبويب > Configuration System > Auditing > Syslog > Servers
2. حدد اسم إجراء Syslog.
3. تعيين عنوان IP لخادم Syslog البعيد والمنفذ.
4. تعيين نوع النقل ك TCP أو UDP اعتمادا على تكوين خادم syslog البعيد.
5. لمزيد من المعلومات، راجع وثائق Citrix ADC (NetScaler السابق).

منع فقدان بيانات الوصي الرقمي

أكمل الخطوات التالية لتكوين Digital Guardian لإعادة توجيه السجلات عبر Syslog:

1. سجل الدخول إلى Digital Guardian Management Console.
2. حدد Workspace>Data Export>Create Export.
3. من قائمة مصادر البيانات، حدد التنبيهات أو الأحداث كمصدر البيانات.
4. من قائمة نوع التصدير، حدد Syslog.
5. من قائمة النوع، حدد UDP أو TCP كبروتوكول النقل.
6. في حقل الخادم ، اكتب عنوان IP لخادم syslog البعيد.
7. في حقل المنفذ ، اكتب 514 (أو منفذ آخر إذا تم تكوين خادم syslog لاستخدام منفذ غير افتراضي).
8. من قائمة مستوى الخطورة، حدد مستوى الخطورة.
9. حدد خانة الاختيار Is Active .
10. حدد التالي.
11. من قائمة الحقول المتوفرة، أضف حقول التنبيه أو الحدث لتصدير البيانات.
12. حدد معايير للحولات في تصدير البيانات والتالي.
13. حدد مجموعة للمعايير والتالي.
14. حدد Test Query.
15. حدد التالي.
16. حفظ تصدير البيانات.

تكامل حماية ESET

تكوين ESET PROTECT لإرسال جميع الأحداث من خلال Syslog.

1. اتبع هذه الإرشادات لتكوين إخراج syslog. تأكد من تحديد BSD بالتنسيق وTCP كنقل.
2. اتبع هذه الإرشادات لتصدير جميع السجلات إلى syslog. حدد JSON بتنسيق الإخراج.

تحليلات Exabeam المتقدمة

اتبع هذه الإرشادات لإرسال بيانات سجل نشاط Exabeam Advanced Analytics عبر syslog.

تم تطوير موصل البيانات هذا باستخدام Exabeam Advanced Analytics i54 (Syslog)

Forescout

أكمل الخطوات التالية للحصول على سجلات Forescout في Microsoft Sentinel.

1. حدد جهازا لتكوينه.
2. اتبع هذه الإرشادات لإعادة توجيه التنبيهات من النظام الأساسي Forescout إلى خادم syslog.
3. تكوين الإعدادات في علامة التبويب مشغلات Syslog.

تم تطوير موصل البيانات هذا باستخدام إصدار Forescout Syslog Plugin: v3.6

Gitlab

اتبع هذه الإرشادات لإرسال بيانات سجل تدقيق Gitlab عبر syslog.

ربط ISC

1. اتبع هذه الإرشادات لتكوين ISC Bind لإعادة توجيه سجل النظام: سجلات DNS.
2. تكوين syslog لإرسال نسبة استخدام الشبكة syslog إلى العامل. استخدم عنوان IP أو اسم المضيف لجهاز Linux مع تثبيت عامل Linux كعنوان IP الوجهة.

نظام تشغيل هوية شبكة Infoblox (NIOS)

اتبع هذه الإرشادات لتمكين إعادة توجيه سجل syslog لسجلات Infoblox NIOS. استخدم عنوان IP أو اسم المضيف لجهاز Linux مع تثبيت عامل Linux كعنوان IP الوجهة.

Ivanti Unified Endpoint Management

اتبع الإرشادات لإعداد إجراءات التنبيه لإرسال السجلات إلى خادم syslog.

تم تطوير موصل البيانات هذا باستخدام Ivanti Unified Endpoint Management Release 2021.1 الإصدار 11.0.3.374

Juniper SRX

1. أكمل الإرشادات التالية لتكوين Juniper SRX لإعادة توجيه syslog:

   • سجلات نسبة استخدام الشبكة (سجلات نهج الأمان)
   • سجلات النظام

2. استخدم عنوان IP أو اسم المضيف لجهاز Linux مع تثبيت عامل Linux كعنوان IP الوجهة.

منصة أمان شبكة McAfee

أكمل خطوات التكوين التالية للحصول على سجلات McAfee® Network Security Platform في Microsoft Sentinel.

1. إعادة توجيه التنبيهات من المدير إلى خادم syslog.

2. يجب إضافة ملف تعريف إعلام syslog. أثناء إنشاء ملف التعريف، للتأكد من تنسيق الأحداث بشكل صحيح، أدخل النص التالي في مربع النص رسالة:

   <SyslogAlertForwarderNSP>:|SENSOR_ALERT_UUID|ALERT_TYPE|ATTACK_TIME|ATTACK_NAME|ATTACK_ID |ATTACK_SEVERITY|ATTACK_SIGNATURE|ATTACK_CONFIDENCE|ADMIN_DOMAIN|SENSOR_NAME|INTERFACE |SOURCE_IP|SOURCE_PORT|DESTINATION_IP|DESTINATION_PORT|CATEGORY|SUB_CATEGORY |DIRECTION|RESULT_STATUS|DETECTION_MECHANISM|APPLICATION_PROTOCOL|NETWORK_PROTOCOL|

تم تطوير موصل البيانات هذا باستخدام إصدار McAfee® Network Security Platform: 10.1.x.

McAfee ePolicy Orchestrator

اتصل بالموفر للحصول على إرشادات حول كيفية تسجيل خادم syslog.

Microsoft Sysmon For Linux

يعتمد موصل البيانات هذا على محللات ASIM استنادا إلى وظائف Kusto للعمل كما هو متوقع. توزيع المحللات.

يتم نشر الوظائف التالية:

• vimFileEventLinuxSysmonFileCreated, vimFileEventLinuxSysmonFileDeleted
• vimProcessCreateLinuxSysmon, vimProcessTerminateLinuxSysmon
• vimNetworkSessionLinuxSysmon

قراءة المزيد

ناسوني

اتبع الإرشادات الواردة في دليل وحدة تحكم إدارة Nasuni لتكوين أجهزة Nasuni Edge لإعادة توجيه أحداث syslog. استخدم عنوان IP أو اسم المضيف لجهاز Linux الذي يقوم بتشغيل عامل Azure Monitor في حقل تكوين الخوادم لإعدادات syslog.

OpenVPN

تثبيت العامل على الخادم حيث تتم إعادة توجيه OpenVPN. تتم كتابة سجلات خادم OpenVPN في ملف syslog الشائع (اعتمادا على توزيع Linux المستخدم: على سبيل المثال /var/log/messages).

تدقيق قاعدة بيانات Oracle

أكمل الخطوات التالية.

1. إنشاء قاعدة بيانات Oracle اتبع هذه الخطوات.
2. سجل الدخول إلى قاعدة بيانات Oracle التي أنشأتها. اتبع هذه الخطوات.
3. تمكين التسجيل الموحد عبر syslog عن طريق تغيير النظام لتمكين التسجيلالموحد باتباع هذه الخطوات.
4. إنشاء نهج تدقيق وتمكينه للتدقيقالموحد اتبع الخطوات التالية.
5. تمكين syslog وsyslog عارض الأحداث Captures لسجل التدقيق الموحد اتبع هذه الخطوات.

تطبيق Pulse Connect الآمن

اتبع الإرشادات لتمكين تدفق سجل النظام لسجلات Pulse Connect Secure. استخدم عنوان IP أو اسم المضيف لجهاز Linux مع تثبيت عامل Linux كعنوان IP الوجهة.

RSA SecurID

أكمل الخطوات التالية للحصول على سجلات RSA® SecurID Authentication Manager في Microsoft Sentinel. اتبع هذه الإرشادات لإعادة توجيه التنبيهات من المدير إلى خادم syslog.

تم تطوير موصل البيانات هذا باستخدام إصدار RSA SecurID Authentication Manager: 8.4 و8.5

جدار حماية Sophos XG

اتبع هذه الإرشادات لتمكين تدفق syslog. استخدم عنوان IP أو اسم المضيف لجهاز Linux مع تثبيت عامل Linux كعنوان IP الوجهة.

حماية نقاط النهاية في Symantec

اتبع هذه الإرشادات لتكوين Symantec Endpoint Protection لإعادة توجيه syslog. استخدم عنوان IP أو اسم المضيف لجهاز Linux مع تثبيت عامل Linux كعنوان IP الوجهة.

Symantec ProxySG

1. سجل الدخول إلى وحدة تحكم Blue Coat Management.

2. حدد Configuration>Access Logging>Formats.

3. حدد جديد.

4. أدخل اسما فريدا في حقل تنسيق الاسم .

5. حدد الزر التبادلي لسلسلة التنسيق المخصص والصق السلسلة التالية في الحقل.

   1 $(date) $(time) $(time-taken) $(c-ip) $(cs-userdn) $(cs-auth-groups) $(x-exception-id) $(sc-filter-result) $(cs-categories) $(quot)$(cs(Referer))$(quot) $(sc-status) $(s-action) $(cs-method) $(quot)$(rs(Content-Type))$(quot) $(cs-uri-scheme) $(cs-host) $(cs-uri-port) $(cs-uri-path) $(cs-uri-query) $(cs-uri-extension) $(quot)$(cs(User-Agent))$(quot) $(s-ip) $(sr-bytes) $(rs-bytes) $(x-virus-id) $(x-bluecoat-application-name) $(x-bluecoat-application-operation) $(cs-uri-port) $(x-cs-client-ip-country) $(cs-threat-risk)

6. حدد موافق.

7. حدد Applyn.

8. اتبع هذه الإرشادات لتمكين تدفق سجل النظام لسجلات Access . استخدم عنوان IP أو اسم المضيف لجهاز Linux مع تثبيت عامل Linux كعنوان IP الوجهة

Symantec VIP

اتبع هذه الإرشادات لتكوين Symantec VIP Enterprise Gateway لإعادة توجيه syslog. استخدم عنوان IP أو اسم المضيف لجهاز Linux مع تثبيت عامل Linux كعنوان IP الوجهة.

VMware ESXi

1. اتبع هذه الإرشادات لتكوين VMware ESXi لإعادة توجيه syslog:

   • VMware ESXi 5.0+

2. استخدم عنوان IP أو اسم المضيف لجهاز Linux مع تثبيت عامل Linux كعنوان IP الوجهة.

WatchGuard Firebox

اتبع هذه الإرشادات لإرسال بيانات سجل WatchGuard Firebox عبر syslog.

المحتوى ذو الصلة

• استيعاب رسائل syslog وCEF إلى Microsoft Sentinel باستخدام عامل Azure Monitor
• Syslog عبر AMA وتنسيق الحدث المشترك (CEF) عبر موصلات AMA ل Microsoft Sentinel