CEF melalui konektor data AMA - Mengonfigurasi appliance atau perangkat tertentu untuk penyerapan data Microsoft Azure Sentinel

Pengumpulan log dari banyak appliance dan perangkat keamanan didukung oleh Common Event Format (CEF) melalui konektor data AMA di Microsoft Azure Sentinel. Artikel ini mencantumkan instruksi penginstalan yang disediakan penyedia untuk appliance dan perangkat keamanan tertentu yang menggunakan konektor data ini. Hubungi penyedia untuk pembaruan, informasi lebih lanjut, atau jika informasi tidak tersedia untuk appliance atau perangkat keamanan Anda.

Untuk menyerap data ke ruang kerja Log Analytics untuk Microsoft Sentinel, selesaikan langkah-langkah dalam menyerap pesan syslog dan CEF ke Microsoft Azure Sentinel dengan Agen Azure Monitor. Langkah-langkah tersebut termasuk penginstalan Common Event Format (CEF) melalui konektor data AMA di Microsoft Azure Sentinel. Setelah konektor diinstal, gunakan instruksi yang sesuai dengan perangkat Anda, yang ditunjukkan nanti di artikel ini, untuk menyelesaikan penyiapan.

Untuk informasi selengkapnya tentang solusi Microsoft Sentinel terkait untuk setiap appliance atau perangkat ini, cari Marketplace Azure untuk Templat Solusi Jenis>Produk atau tinjau solusi dari hub Konten di Microsoft Azure Sentinel.

AI Analyst Darktrace

Konfigurasikan Darktrace untuk meneruskan pesan syslog dalam format CEF ke ruang kerja Azure Anda melalui agen syslog.

1. Di dalam Darktrace Threat Visualizer, buka halaman Konfigurasi Sistem di menu utama di bagian Admin.
2. Dari menu sebelah kiri, pilih Modul dan pilih Microsoft Azure Sentinel dari Integrasi Alur Kerja yang tersedia.
3. Temukan MICROSOFT Sentinel syslog CEF dan pilih Baru untuk mengungkapkan pengaturan konfigurasi, kecuali sudah terekspos.
4. Di bidang Konfigurasi server, masukkan lokasi penerus log lalu ubah port komunikasi secara opsional. Pastikan bahwa port yang dipilih diatur ke 514 dan diizinkan oleh firewall perantara.
5. Konfigurasikan ambang batas pemberitahuan, offset waktu, atau pengaturan lain sesuai kebutuhan.
6. Tinjau opsi konfigurasi lain yang mungkin ingin Anda aktifkan yang mengubah sintaks syslog.
7. Aktifkan Kirim Peringatan lalu simpan perubahannya.

Akamai Security Events

Ikuti langkah-langkah ini untuk mengonfigurasi konektor Akamai CEF untuk mengirim pesan syslog dalam format CEF ke komputer proksi. Pastikan Anda mengirim log ke port 514 TCP pada alamat IP komputer.

AristaAwakeSecurity

Selesaikan langkah-langkah berikut untuk meneruskan hasil kecocokan Model Adversarial Awake ke kolektor CEF yang mendengarkan di port TCP 514 di IP 192.168.0.1:

1. Navigasi ke halaman Keterampilan Manajemen Deteksi di Antarmuka Pengguna Awake.
2. Pilih + Tambahkan Keterampilan Baru.
3. Atur Ekspresi ke integrations.cef.tcp { destination: "192.168.0.1", port: 514, secure: false, severity: Warning }
4. Atur Judul ke nama deskriptif seperti, Teruskan Hasil pencocokan Model Adversarial Ke Microsoft Azure Sentinel.
5. Atur Pengidentifikasi Referensi ke sesuatu yang mudah ditemukan seperti, integrations.cef.sentinel-forwarder.
6. Pilih Simpan.

Dalam beberapa menit setelah menyimpan definisi dan bidang lainnya, sistem mulai mengirim hasil kecocokan model baru ke kolektor peristiwa CEF saat terdeteksi.

Untuk informasi selengkapnya, lihat halaman Menambahkan Informasi Keamanan dan Integrasi Push Manajemen Peristiwa dari Dokumentasi Bantuan di Antarmuka Pengguna Awake.

Aruba ClearPass

Konfigurasikan Aruba ClearPass untuk meneruskan pesan syslog dalam format CEF ke ruang kerja Microsoft Azure Sentinel Anda melalui agen syslog.

1. Ikuti instruksi ini untuk mengonfigurasi Aruba ClearPass untuk meneruskan syslog.
2. Gunakan alamat IP atau nama host untuk perangkat Linux dengan agen Linux yang diinstal sebagai alamat IP Tujuan.

Barracuda WAF

Barracuda Web Application Firewall dapat diintegrasikan dengan dan mengekspor log langsung ke Microsoft Azure Sentinel melalui Azure Monitoring Agent (AMA).

1. Buka konfigurasi Barracuda WAF, dan ikuti instruksi, menggunakan parameter berikut untuk menyiapkan koneksi.

2. Fasilitas log Web Firewall: Buka pengaturan tingkat lanjut untuk ruang kerja Anda dan pada tab Syslog Data>. Pastikan fasilitasnya ada.

Perhatikan bahwa data dari semua wilayah disimpan di ruang kerja yang dipilih.

Broadcom SymantecDLP

Konfigurasikan Symantec DLP untuk meneruskan pesan syslog dalam format CEF ke ruang kerja Microsoft Azure Sentinel Anda melalui agen syslog.

1. Ikuti instruksi ini untuk mengonfigurasi Symantec DLP untuk meneruskan syslog
2. Gunakan alamat IP atau nama host untuk perangkat Linux dengan agen Linux yang diinstal sebagai alamat IP Tujuan.

Cisco Firepower EStreamer

Instal dan konfigurasikan klien Firepower eNcore eStreamer. Untuk informasi selengkapnya, lihat panduan penginstalan lengkap.

CiscoSEG

Selesaikan langkah-langkah berikut untuk mengonfigurasi Cisco Secure Email Gateway untuk meneruskan log melalui syslog:

1. Mengonfigurasi Langganan Log.
2. Pilih Log Peristiwa Terkonsolidasi di bidang Jenis Log.

Citrix Web App Firewall

Konfigurasikan Citrix WAF untuk mengirim pesan syslog dalam format CEF ke komputer proksi.

• Temukan panduan untuk mengonfigurasi log WAF dan CEF dari Dukungan Citrix.

• Ikuti panduan ini untuk meneruskan log ke proksi. Pastikan Anda mengirim log ke port 514 TCP pada alamat IP komputer Linux.

Klausul

Konfigurasikan penerusan log menggunakan CEF.

1. Navigasi ke bagian Syslog dari menu Konfigurasi.
2. Pilih + Tambahkan.
3. Dalam Dialog Tambahkan Syslog Baru tentukan IP Server Jarak Jauh, Port, Protokol.
4. Pilih Format - Pesan CEF.
5. Pilih Simpan untuk keluar dari dialog Tambahkan Syslog.

Perlindungan Kontras

Konfigurasikan agen Contrast Protect untuk meneruskan peristiwa ke syslog seperti yang dijelaskan di sini: https://docs.contrastsecurity.com/en/output-to-syslog.html. Buat beberapa peristiwa serangan untuk aplikasi Anda.

CrowdStrike Falcon

Sebarkan CrowdStrike Falcon SIEM Collector untuk meneruskan pesan syslog dalam format CEF ke ruang kerja Microsoft Azure Sentinel Anda melalui agen syslog.

1. Ikuti instruksi ini untuk menyebarkan SIEM Collector dan meneruskan syslog.
2. Gunakan alamat IP atau nama host untuk perangkat Linux dengan agen Linux yang diinstal sebagai alamat IP Tujuan.

CyberArk Enterprise Password Vault (EPV) Events

Pada EPV, konfigurasikan dbparm.ini untuk mengirim pesan syslog dalam format CEF ke komputer proksi. Pastikan Anda mengirim log ke port 514 TCP pada alamat IP komputer.

Delinea Secret Server

Atur solusi keamanan Anda untuk mengirim pesan syslog dalam format CEF ke komputer proksi. Pastikan Anda mengirim log ke port 514 TCP pada alamat IP komputer.

ExtraHop Reveal(x)

Atur solusi keamanan Anda untuk mengirim pesan syslog dalam format CEF ke komputer proksi. Pastikan untuk mengirim log ke port 514 TCP pada alamat IP komputer.

1. Ikuti petunjuk untuk menginstal bundel Konektor SIEM Deteksi EkstraHop pada sistem Reveal(x) Anda. Konektor SIEM diperlukan untuk integrasi ini.
2. Aktifkan pemicu untuk Konektor SIEM Deteksi ExtraHop - CEF.
3. Perbarui pemicu dengan target syslog ODS yang Anda buat. 

Sistem Reveal(x) memformat pesan syslog dalam Common Event Format (CEF) lalu mengirim data ke Microsoft Azure Sentinel.

F5 Networks

Konfigurasikan F5 untuk meneruskan pesan syslog dalam format CEF ke ruang kerja Microsoft Azure Sentinel Anda melalui agen syslog.

Buka F5 Mengonfigurasi Pengelogan Peristiwa Keamanan Aplikasi, ikuti instruksi untuk menyiapkan pengelogan jarak jauh, menggunakan panduan berikut:

1. Atur Jenis penyimpanan jarak jauh ke CEF.
2. Atur pengaturan Protokol ke UDP.
3. Atur alamat IP ke alamat IP server syslog.
4. Atur nomor port ke 514, atau port yang digunakan agen Anda.
5. Atur fasilitas ke fasilitas yang Anda konfigurasi di agen syslog. Secara default, agen mengatur nilai ini ke local4.
6. Anda bisa mengatur Ukuran String Kueri Maksimum agar sama dengan yang Anda konfigurasikan.

Keamanan Jaringan FireEye

Selesaikan langkah-langkah berikut untuk mengirim data menggunakan CEF:

1. Masuk ke appliance FireEye dengan akun administrator.

2. Pilih pengaturan.

3. Pilih Pemberitahuan. Pilih rsyslog.

4. Centang kotak Jenis peristiwa.

5. Pastikan pengaturan Rsyslog adalah:

   • Format default: CEF
   • Pengiriman default: Per peristiwa
   • Default kirim sebagai: Pemberitahuan

Forcepoint CASB

Atur solusi keamanan Anda untuk mengirim pesan syslog dalam format CEF ke komputer proksi. Pastikan Anda mengirim log ke port 514 TCP pada alamat IP komputer.

Forcepoint CSG

Integrasi tersedia dengan dua opsi implementasi:

1. Menggunakan gambar docker di mana komponen integrasi sudah diinstal dengan semua dependensi yang diperlukan. Ikuti instruksi yang diberikan dalam Panduan Integrasi.
2. Memerlukan penyebaran manual komponen integrasi di dalam komputer Linux yang bersih. Ikuti instruksi yang diberikan dalam Panduan Integrasi.

Forcepoint NGFW

Atur solusi keamanan Anda untuk mengirim pesan syslog dalam format CEF ke komputer proksi. Pastikan Anda mengirim log ke port 514 TCP pada alamat IP komputer.

ForgeRock Common Audit for CEF

Di ForgeRock, instal dan konfigurasikan Common Audit (CAUD) ini untuk Microsoft Sentinel sesuai dokumentasi di https://github.com/javaservlets/SentinelAuditEventHandler. Selanjutnya, di Azure, ikuti langkah-langkah untuk mengonfigurasi CEF melalui konektor data AMA.

Fortinet

Atur Fortinet Anda untuk mengirim pesan Syslog dalam format CEF ke komputer proksi. Pastikan Anda mengirim log ke port 514 TCP pada alamat IP komputer.

Salin perintah CLI di bawah ini dan:

• Ganti "alamat> ip server<" dengan alamat IP agen Syslog.
  
• Atur "<facility_name>" untuk menggunakan fasilitas yang Anda konfigurasi di agen Syslog (secara default, agen mengatur ini ke lokal4).
  
• Atur port Syslog ke 514, port yang digunakan agen Anda.
  
• Untuk mengaktifkan format CEF dalam versi FortiOS awal, Anda mungkin perlu menjalankan perintah "atur csv disable".
  Untuk informasi selengkapnya, buka Pustaka Dokumen Fortinet, pilih versi Anda, dan gunakan PDF "Buku Pegangan" dan "Referensi Pesan Log".
  

Pelajari selengkapnya>

Siapkan koneksi menggunakan CLI untuk menjalankan perintah berikut: config log syslogd setting/n set status enable/nset format cef/nset port 514/nset server <ip_address_of_Receiver>/nend

iboss

Atur Konsol Ancaman Anda untuk mengirim pesan syslog dalam format CEF ke ruang kerja Azure Anda. Catat ID Ruang Kerja dan Kunci Utama dalam ruang kerja Analitik Log Anda. Pilih ruang kerja dari menu Ruang kerja Log Analytics di portal Microsoft Azure. Lalu pilih Manajemen agen di bagian Pengaturan.

1. Buka Pelaporan & Analitik di dalam Konsol iboss Anda.
2. Pilih Penerusan>Log Dari Reporter.
3. Pilih Tindakan>Tambahkan Layanan.
4. Alihkan ke Microsoft Azure Sentinel sebagai Jenis Layanan dan masukkan ID Ruang Kerja/Kunci Primer Anda bersama dengan kriteria lain. Jika komputer Linux proksi khusus dikonfigurasi, alihkan ke Syslog sebagai Jenis Layanan dan konfigurasikan pengaturan untuk menunjuk ke komputer Linux proksi khusus Anda.
5. Tunggu satu hingga dua menit hingga penyetelan selesai.
6. Pilih layanan Microsoft Azure Sentinel Anda dan verifikasi status penyiapan Microsoft Azure Sentinel berhasil. Jika komputer Linux proksi khusus dikonfigurasi, Anda mungkin memvalidasi koneksi Anda.

Illumio Core

Mengonfigurasi format peristiwa.

1. Dari menu konsol web PCE, pilih Pengaturan Peristiwa Untuk > melihat pengaturan Anda saat ini.
2. Pilih Edit untuk mengubah pengaturan.
3. Atur Format Peristiwa ke CEF.
4. (Opsional) Mengonfigurasi Tingkat Keparahan Peristiwa dan Periode Retensi.

Konfigurasikan penerusan peristiwa ke server syslog eksternal.

1. Dari menu konsol web PCE, pilih Pengaturan Peristiwa Pengaturan>.
2. Pilih Tambahkan.
3. Pilih Tambahkan Repositori.
4. Selesaikan dialog Tambahkan Repositori .
5. Pilih OK untuk menyimpan konfigurasi penerusan peristiwa.

Platform Ilusif

1. Atur solusi keamanan Anda untuk mengirim pesan syslog dalam format CEF ke komputer proksi. Pastikan Anda mengirim log ke port 514 TCP pada alamat IP komputer.

2. Masuk ke Konsol Illusive, dan navigasi ke Pelaporan Pengaturan>.

3. Temukan Server Syslog.

4. Berikan informasi berikut:

   • Nama host: Alamat IP agen Linux Syslog atau nama host FQDN
   • Port: 514
   • Protokol: TCP
   • Pesan audit: Mengirim pesan audit ke server

5. Untuk menambahkan server syslog, pilih Tambahkan.

Untuk informasi selengkapnya tentang cara menambahkan server syslog baru di platform Illusive, temukan Panduan Admin Illusive Networks di sini: https://support.illusivenetworks.com/hc/en-us/sections/360002292119-Documentation-by-Version

Imperva WAF Gateway

Konektor ini memerlukan Antarmuka Tindakan dan Set Tindakan untuk dibuat pada MX Imperva SecureSphere. Ikuti langkah-langkah untuk membuat persyaratan.

1. Buat Antarmuka Tindakan baru yang berisi parameter yang diperlukan untuk mengirim pemberitahuan WAF ke Microsoft Azure Sentinel.
2. Buat Kumpulan Tindakan baru yang menggunakan Antarmuka Tindakan yang dikonfigurasi.
3. Terapkan Set Tindakan ke kebijakan keamanan apa pun yang ingin Anda miliki pemberitahuannya untuk dikirim ke Microsoft Azure Sentinel.

Konektor Data Cloud Infoblox

Selesaikan langkah-langkah berikut untuk mengonfigurasi Infoblox CDC untuk mengirim data BloxOne ke Microsoft Azure Sentinel melalui agen syslog Linux.

1. Navigasi ke Kelola>Konektor Data.
2. Pilih tab Konfigurasi Tujuan di bagian atas.
3. Pilih Buat > Syslog.
   • Nama: Beri Nama tujuan baru yang bermakna, seperti Microsoft-Sentinel-Destination.
   • Deskripsi: Secara opsional berikan deskripsi yang bermakna.
   • Status: Atur status ke Diaktifkan.
   • Format: Atur format ke CEF.
   • FQDN/IP: Masukkan alamat IP perangkat Linux tempat agen Linux diinstal.
   • Port: Biarkan nomor port di 514.
   • Protokol: Pilih protokol yang diinginkan dan sertifikat CA jika berlaku.
   • Pilih Simpan & Tutup.
4. Pilih tab Konfigurasi Arus Lalu Lintas di bagian atas.
5. Pilih Buat.
   • Nama: Beri Nama yang bermakna pada Alur Lalu Lintas baru, seperti Microsoft-Sentinel-Flow.
   • Deskripsi: Secara opsional berikan deskripsi yang bermakna.
   • Status: Atur status ke Diaktifkan.
   • Perluas bagian Instans Layanan.
     • Instans Layanan: Pilih Instans Layanan yang Anda inginkan tempat layanan Konektor Data diaktifkan.
   • Perluas bagian Konfigurasi Sumber.
     • Sumber: Pilih BloxOne Cloud Source.
     • Pilih semua jenis log yang diinginkan yang ingin Anda kumpulkan. Jenis log yang saat ini didukung adalah:
       • Kueri Pertahanan Ancaman/Log Respons
       • Log Hit Umpan Ancaman Ancaman Pertahanan Ancaman
       • DDI Query/Response Log
       • Log Sewa DDI DHCP
   • Perluas bagian Konfigurasi Tujuan.
     • Pilih Tujuan yang Anda buat.
   • Pilih Simpan & Tutup.
6. Izinkan konfigurasi beberapa saat untuk mengaktifkan.

Infoblox SOC Insights

Selesaikan langkah-langkah berikut untuk mengonfigurasi Infoblox CDC untuk mengirim data BloxOne ke Microsoft Azure Sentinel melalui agen syslog Linux.

1. Navigasi ke Kelola > Konektor Data.
2. Pilih tab Konfigurasi Tujuan di bagian atas.
3. Pilih Buat > Syslog.
   • Nama: Beri Nama tujuan baru yang bermakna, seperti Microsoft-Sentinel-Destination.
   • Deskripsi: Secara opsional berikan deskripsi yang bermakna.
   • Status: Atur status ke Diaktifkan.
   • Format: Atur format ke CEF.
   • FQDN/IP: Masukkan alamat IP perangkat Linux tempat agen Linux diinstal.
   • Port: Biarkan nomor port di 514.
   • Protokol: Pilih protokol yang diinginkan dan sertifikat CA jika berlaku.
   • Pilih Simpan & Tutup.
4. Pilih tab Konfigurasi Arus Lalu Lintas di bagian atas.
5. Pilih Buat.
   • Nama: Beri Nama yang bermakna pada Alur Lalu Lintas baru, seperti Microsoft-Sentinel-Flow.
   • Deskripsi: Secara opsional berikan deskripsi yang bermakna.
   • Status: Atur status ke Diaktifkan.
   • Perluas bagian Instans Layanan.
     • Instans Layanan: Pilih instans layanan yang Anda inginkan tempat layanan konektor data diaktifkan.
   • Perluas bagian Konfigurasi Sumber.
     • Sumber: Pilih BloxOne Cloud Source.
     • Pilih Jenis Log Pemberitahuan Internal.
   • Perluas bagian Konfigurasi Tujuan.
     • Pilih Tujuan yang Anda buat.
   • Pilih Simpan & Tutup.
6. Izinkan konfigurasi beberapa saat untuk mengaktifkan.

KasperskySecurityCenter

Ikuti instruksi untuk mengonfigurasi ekspor peristiwa dari Kaspersky Security Center.

Morphisec

Atur solusi keamanan Anda untuk mengirim pesan syslog dalam format CEF ke komputer proksi. Pastikan Anda mengirim log ke port 514 TCP pada alamat IP komputer.

Netwrix Auditor

Ikuti instruksi untuk mengonfigurasi ekspor peristiwa dari Auditor Netwrix.

NozomiNetworks

Selesaikan langkah-langkah berikut untuk mengonfigurasi perangkat Nozomi Networks untuk mengirim pemberitahuan, audit, dan log kesehatan melalui syslog dalam format CEF:

1. Masuk ke konsol Guardian.
2. Navigasi ke Administrasi> Integrasi Data.
3. Pilih + Tambahkan.
4. Pilih Common Event Format (CEF) dari menu drop-down.
5. Buat Titik Akhir Baru menggunakan informasi host yang sesuai.
6. Aktifkan Pemberitahuan, Log Audit, dan Log Kesehatan untuk pengiriman.

Onapsis Platform

Lihat bantuan onapsis dalam produk untuk menyiapkan penerusan log ke agen syslog.

1. Buka Penyiapan>Integrasi>pihak ketiga Defend Alarms dan ikuti instruksi untuk Microsoft Azure Sentinel.

2. Pastikan Konsol Onapsis Anda dapat menjangkau mesin proksi tempat agen diinstal. Log harus dikirim ke port 514 menggunakan TCP.

OSSEC

Ikuti langkah-langkah ini untuk mengonfigurasi pemberitahuan pengiriman OSSEC melalui syslog.

Palo Alto - XDR (Korteks)

Konfigurasikan Palo Alto XDR (Cortex) untuk meneruskan pesan dalam format CEF ke ruang kerja Microsoft Azure Sentinel Anda melalui agen syslog.

1. Buka Pengaturan dan Konfigurasi Cortex.
2. Pilih untuk menambahkan Server Baru di bawah Aplikasi Eksternal.
3. Kemudian tentukan nama dan berikan IP publik server syslog Anda di Tujuan.
4. Berikan nomor Port sebagai 514.
5. Dari bidang Fasilitas , pilih FAC_SYSLOG dari menu dropdown.
6. Pilih Protokol sebagai UDP.
7. Pilih Buat.

PaloAlto-PAN-OS

Konfigurasikan Palo Alto Networks untuk meneruskan pesan syslog dalam format CEF ke ruang kerja Microsoft Azure Sentinel Anda melalui agen syslog.

1. Buka mengonfigurasi Palo Alto Networks NGFW untuk mengirim peristiwa CEF.

2. Buka Konfigurasi Palo Alto CEF dan Palo Alto Konfigurasikan Pemantauan Syslog langkah 2, 3, pilih versi Anda, dan ikuti instruksi menggunakan panduan berikut:

   1. Atur format server Syslog ke BSD.
   2. Salin teks ke editor dan hapus karakter apa pun yang mungkin merusak format log sebelum menempelkannya. Operasi salin/tempel dari PDF mungkin mengubah teks dan menyisipkan karakter acak.

Pelajari lebih lanjut

PaloAltoCDL

Ikuti instruksi untuk mengonfigurasi penerusan log dari Cortex Data Lake ke Server syslog.

PingFederate

Ikuti langkah-langkah ini untuk mengonfigurasi PingFederate yang mengirim log audit melalui syslog dalam format CEF.

Keamanan Punggung Bukit

Konfigurasikan RidgeBot untuk meneruskan peristiwa ke server syslog seperti yang dijelaskan di sini. Buat beberapa peristiwa serangan untuk aplikasi Anda.

Firewall SonicWall

Atur Firewall SonicWall Anda untuk mengirim pesan syslog dalam format CEF ke komputer proksi. Pastikan Anda mengirim log ke port 514 TCP pada alamat IP komputer.

Ikuti instruksi. Kemudian Pastikan Anda memilih penggunaan lokal 4 sebagai fasilitas. Lalu pilih ArcSight sebagai format syslog.

Apex One Mikro Tren

Ikuti langkah-langkah ini untuk mengonfigurasi pemberitahuan pengiriman Apex Central melalui syslog. Saat mengonfigurasi, pada langkah 6, pilih format log CEF.

Trend Micro Deep Security

Atur solusi keamanan Anda untuk mengirim pesan syslog dalam format CEF ke komputer proksi. Pastikan untuk mengirim log ke port 514 TCP pada alamat IP komputer.

1. Meneruskan peristiwa Trend Micro Deep Security ke agen syslog.
2. Tentukan Konfigurasi syslog baru yang menggunakan format CEF dengan merujuk artikel pengetahuan ini untuk informasi tambahan.
3. Konfigurasikan Deep Security Manager untuk menggunakan konfigurasi baru ini untuk meneruskan peristiwa ke agen syslog menggunakan instruksi ini.
4. Pastikan untuk menyimpan fungsi TrendMicroDeepSecurity sehingga meminta data Trend Micro Deep Security dengan benar.

Trend Micro TippingPoint

Atur SMS TippingPoint Anda untuk mengirim pesan syslog dalam format ArcSight CEF Format v4.2 ke komputer proksi. Pastikan Anda mengirim log ke port 514 TCP pada alamat IP komputer.

Pengontrol Aplikasi vArmour

Kirim pesan syslog dalam format CEF ke komputer proksi. Pastikan Anda mengirim log ke port 514 TCP pada alamat IP komputer.

Unduh panduan pengguna dari https://support.varmour.com/hc/en-us/articles/360057444831-vArmour-Application-Controller-6-0-User-Guide. Dalam panduan pengguna, lihat "Mengonfigurasi Syslog untuk Pemantauan dan Pelanggaran" dan ikuti langkah 1 hingga 3.

Deteksi Vectra AI

Konfigurasikan Agen Vectra (Seri X) untuk meneruskan pesan syslog dalam format CEF ke ruang kerja Microsoft Azure Sentinel Anda melalui agen syslog.

Dari UI Vectra, navigasikan ke Pengaturan > Pemberitahuan dan Edit konfigurasi syslog. Ikuti petunjuk di bawah ini untuk menyiapkan koneksi:

1. Tambahkan Tujuan baru (yang merupakan host tempat agen syslog Microsoft Sentinel berjalan).
2. Atur Port sebagai 514.
3. Atur Protokol sebagai UDP.
4. Atur format ke CEF.
5. Atur Jenis log. Pilih semua jenis log yang tersedia.
6. Pilih Simpan.
7. Pilih tombol Uji untuk mengirim beberapa peristiwa pengujian.

Untuk informasi lebih lanjut, lihat Panduan Syslog Deteksi Cognito, yang dapat diunduh dari halaman sumber daya di antarmuka pengguna Deteksi.

Votiro

Atur Titik Akhir Votiro untuk mengirim pesan syslog dalam format CEF ke komputer Forwarder. Pastikan Anda mengirim log ke port 514 TCP pada alamat IP komputer Penerus.

WireX Network Forensics Platform

Hubungi dukungan WireX (https://wirexsystems.com/contact-us/) untuk mengonfigurasi solusi NFP Anda untuk mengirim pesan syslog dalam format CEF ke komputer proksi. Pastikan bahwa manajer pusat dapat mengirim log ke port 514 TCP pada alamat IP komputer.

DenganSecure Elements melalui Konektor

Hubungkan appliance WithSecure Elements Connector Anda ke Microsoft Sentinel. Konektor data WithSecure Elements Connector memungkinkan Anda menghubungkan log WithSecure Elements dengan Microsoft Azure Sentinel dengan mudah, untuk melihat dasbor, membuat pemberitahuan kustom, dan meningkatkan penyelidikan.

Konfigurasikan Dengan Secure Elements Connector untuk meneruskan pesan syslog dalam format CEF ke ruang kerja Analitik Log Anda melalui agen syslog.

1. Pilih atau buat komputer Linux untuk Microsoft Azure Sentinel untuk digunakan sebagai proksi antara solusi WithSecurity Anda dan Microsoft Sentinel. Komputer dapat menjadi lingkungan lokal, Microsoft Azure, atau lingkungan berbasis cloud lainnya. Linux harus memiliki syslog-ng dan python/python3 menginstal.
2. Instal Azure Monitoring Agent (AMA) di komputer Linux Anda dan konfigurasikan mesin untuk mendengarkan port yang diperlukan dan meneruskan pesan ke ruang kerja Microsoft Azure Sentinel Anda. Kolektor CEF mengumpulkan pesan CEF pada port 514 TCP. Anda harus memiliki izin yang lebih tinggi (sudo) pada mesin Anda.
3. Buka EPP di Portal Elemen WithSecure. Lalu navigasikan ke Unduhan. Di bagian Konektor Elemen, pilih Buat kunci langganan. Anda dapat memeriksa kunci langganan Anda di Langganan.
4. Di bagian Unduhan di WithSecure Elements Connector, pilih penginstal yang benar dan unduh.
5. Saat berada di EPP, buka pengaturan akun dari sudut kanan atas. Lalu pilih Dapatkan kunci API manajemen. Jika kunci dibuat sebelumnya, kunci juga dapat dibaca di sana.
6. Untuk menginstal Konektor Elemen, ikuti Dokumen Konektor Elemen.
7. Jika akses API tidak dikonfigurasi selama penginstalan, ikuti Mengonfigurasi akses API untuk Konektor Elemen.
8. Buka EPP, lalu Profil, lalu gunakan Untuk Konektor dari tempat Anda dapat melihat profil konektor. Buat profil baru (atau edit profil tidak baca-saja yang sudah ada). Di Penerusan peristiwa, aktifkan. Atur alamat sistem SIEM: 127.0.0.1:514. Atur format ke Format Peristiwa Umum. Protokol adalah TCP. Simpan profil dan tetapkan ke Konektor Elemen di tab Perangkat .
9. Untuk menggunakan skema yang relevan di Log Analytics untuk WithSecure Elements Connector, cari CommonSecurityLog.
10. Lanjutkan dengan memvalidasi konektivitas CEF Anda.

Zscaler

Atur produk Zscaler untuk mengirim pesan syslog dalam format CEF ke agen syslog Anda. Pastikan Anda mengirim log pada port 514 TCP.

Untuk informasi selengkapnya, lihat Panduan integrasi Zscaler Microsoft Sentinel.

Konten terkait

• Menyerap pesan syslog dan CEF ke Microsoft Azure Sentinel dengan Agen Azure Monitor
• Syslog melalui AMA dan Common Event Format (CEF) melalui konektor AMA untuk Microsoft Azure Sentinel