Syslog melalui konektor data AMA - Mengonfigurasi appliance atau perangkat tertentu untuk penyerapan data Microsoft Azure Sentinel

Pengumpulan log dari banyak appliance dan perangkat keamanan didukung oleh Syslog melalui konektor data AMA di Microsoft Azure Sentinel. Artikel ini mencantumkan instruksi penginstalan yang disediakan penyedia untuk appliance dan perangkat keamanan tertentu yang menggunakan konektor data ini. Hubungi penyedia untuk pembaruan, informasi lebih lanjut, atau jika informasi tidak tersedia untuk appliance atau perangkat keamanan Anda.

Untuk meneruskan data ke ruang kerja Analitik Log untuk Microsoft Azure Sentinel, selesaikan langkah-langkah dalam Menyerap pesan syslog dan CEF ke Microsoft Azure Sentinel dengan Agen Azure Monitor. Saat Anda menyelesaikan langkah-langkah tersebut , instal Syslog melalui konektor data AMA di Microsoft Azure Sentinel. Kemudian, gunakan instruksi penyedia yang sesuai dalam artikel ini untuk menyelesaikan penyiapan.

Untuk informasi selengkapnya tentang solusi Microsoft Sentinel terkait untuk setiap appliance atau perangkat ini, cari Marketplace Azure untuk Templat Solusi Jenis>Produk atau tinjau solusi dari hub Konten di Microsoft Azure Sentinel.

Barracuda CloudGen Firewall

Ikuti instruksi untuk mengonfigurasi streaming syslog. Gunakan alamat IP atau nama host untuk komputer Linux dengan agen Microsoft Sentinel yang diinstal untuk alamat IP Tujuan.

Blackberry CylancePROTECT

Ikuti instruksi ini untuk mengonfigurasi CylancePROTECT untuk meneruskan syslog. Gunakan alamat IP atau nama host untuk perangkat Linux dengan agen Linux yang diinstal sebagai alamat IP Tujuan.

Infrastruktur Sentris Aplikasi Cisco (ACI)

Konfigurasikan sistem Cisco ACI untuk mengirim log melalui syslog ke server jarak jauh tempat Anda menginstal agen. Ikuti langkah-langkah ini untuk mengonfigurasi Tujuan Syslog, Grup Tujuan, dan Sumber Syslog.

Konektor data ini dikembangkan menggunakan Cisco ACI Release 1.x.

Mesin Cisco Identity Services (ISE)

Ikuti petunjuk ini untuk mengonfigurasi lokasi pengumpulan syslog jarak jauh dalam penyebaran ISE Cisco Anda.

Cisco Stealthwatch

Selesaikan langkah-langkah konfigurasi berikut untuk mendapatkan log Cisco Stealthwatch ke Microsoft Sentinel.

1. Masuk ke Stealthwatch Management Console (SMC) sebagai administrator.

2. Di bilah menu, pilih Manajemen Respons Konfigurasi>.

3. Dari bagian Tindakan di menu Manajemen Respons, pilih Tambahkan > Pesan Syslog.

4. Di jendela Tambahkan Tindakan Pesan Syslog, konfigurasikan parameter.

5. Masukkan format kustom berikut:

   |Lancope|Stealthwatch|7.3|{alarm_type_id}|0x7C|src={source_ip}|dst={target_ip}|dstPort={port}|proto={protocol}|msg={alarm_type_description}|fullmessage={details}|start={start_active_time}|end={end_active_time}|cat={alarm_category_name}|alarmID={alarm_id}|sourceHG={source_host_group_names}|targetHG={target_host_group_names}|sourceHostSnapshot={source_url}|targetHostSnapshot={target_url}|flowCollectorName={device_name}|flowCollectorIP={device_ip}|domain={domain_name}|exporterName={exporter_hostname}|exporterIPAddress={exporter_ip}|exporterInfo={exporter_label}|targetUser={target_username}|targetHostname={target_hostname}|sourceUser={source_username}|alarmStatus={alarm_status}|alarmSev={alarm_severity_name}

6. Pilih format kustom dari daftar dan OK.

7. Pilih Aturan Manajemen > Respons.

8. Pilih Tambahkan dan Alarm Host.

9. Berikan nama aturan di bidang Nama .

10. Buat aturan dengan memilih nilai dari menu Jenis dan Opsi . Untuk menambahkan aturan lainnya, pilih ikon elipsis. Untuk Alarm Host, gabungkan sebanyak mungkin jenis dalam pernyataan.

Konektor data ini dikembangkan menggunakan Cisco Stealthwatch versi 7.3.2

Cisco Unified Computing Systems (UCS)

Ikuti instruksi ini untuk mengonfigurasi Cisco UCS untuk meneruskan syslog. Gunakan alamat IP atau nama host untuk perangkat Linux dengan agen Linux yang diinstal sebagai alamat IP Tujuan.

Alat Keamanan Web Cisco (WSA)

Konfigurasikan Cisco untuk meneruskan log melalui syslog ke server jarak jauh tempat Anda menginstal agen. Ikuti langkah-langkah ini untuk mengonfigurasi Cisco WSA untuk meneruskan log melalui Syslog

Pilih Pendorongan Syslog sebagai Metode Pengambilan.

Konektor data ini dikembangkan menggunakan AsyncOS 14.0 untuk Cisco Web Security Appliance

Citrix Application Delivery Controller (ADC)

Konfigurasikan Citrix ADC (sebelumnya NetScaler) untuk meneruskan log melalui Syslog.

1. Navigasi ke tab Konfigurasi tab > Server Syslog > Audit > Sistem >
2. Tentukan nama tindakan Syslog.
3. Atur alamat IP server dan port Syslog jarak jauh.
4. Atur Jenis transportasi sebagai TCP atau UDP tergantung pada konfigurasi server syslog jarak jauh Anda.
5. Untuk informasi selengkapnya, lihat dokumentasi Citrix ADC (mantan NetScaler).

Pencegahan Kehilangan Data Digital Guardian

Selesaikan langkah-langkah berikut untuk mengonfigurasi Digital Guardian untuk meneruskan log melalui Syslog:

1. Masuk ke Konsol Manajemen Digital Guardian.
2. Pilih Ekspor>Data Ruang>Kerja Buat Ekspor.
3. Dari daftar Sumber Data, pilih Pemberitahuan atau Peristiwa sebagai sumber data.
4. Dari daftar Jenis ekspor, pilih Syslog.
5. Dari daftar Jenis, pilih UDP, atau TCP sebagai protokol transportasi.
6. Di bidang Server, ketik alamat IP server syslog jarak jauh Anda.
7. Di bidang Port, ketik 514 (atau port lain jika server syslog Anda dikonfigurasi untuk menggunakan port nondefault).
8. Dari daftar Tingkat Keparahan, pilih tingkat keparahan.
9. Pilih kotak centang Aktif .
10. Pilih Selanjutnya.
11. Dari daftar bidang yang tersedia, tambahkan bidang Pemberitahuan atau Peristiwa untuk ekspor data Anda.
12. Pilih Kriteria untuk bidang dalam ekspor data Anda dan Berikutnya.
13. Pilih grup untuk kriteria dan Berikutnya.
14. Pilih Uji Kueri.
15. Pilih Selanjutnya.
16. Simpan ekspor data.

Integrasi ESET Protect

Konfigurasikan ESET PROTECT untuk mengirim semua peristiwa melalui Syslog.

1. Ikuti instruksi ini untuk mengonfigurasi output syslog. Pastikan untuk memilih BSD sebagai format dan TCP sebagai transportasi.
2. Ikuti petunjuk ini untuk mengekspor semua log ke syslog. Pilih JSON sebagai format output.

Analisis Tingkat Lanjut Exabeam

Ikuti petunjuk ini untuk mengirim data log aktivitas Exabeam Advanced Analytics melalui syslog.

Konektor data ini dikembangkan menggunakan Exabeam Advanced Analytics i54 (Syslog)

Forescout

Selesaikan langkah-langkah berikut untuk mendapatkan log Forescout ke Microsoft Sentinel.

1. Pilih Appliance untuk Dikonfigurasi.
2. Ikuti instruksi ini untuk meneruskan pemberitahuan dari platform Forescout ke server syslog.
3. Konfigurasikan pengaturan di tab Pemicu Syslog.

Konektor data ini dikembangkan menggunakan versi Plugin Forescout Syslog: v3.6

Gitlab

Ikuti petunjuk ini untuk mengirim data log audit Gitlab melalui syslog.

ISC Bind

1. Ikuti instruksi ini untuk mengonfigurasi ISC Bind untuk meneruskan syslog: Log DNS.
2. Konfigurasikan syslog untuk mengirim lalu lintas syslog ke agen. Gunakan alamat IP atau nama host untuk perangkat Linux dengan agen Linux yang diinstal sebagai alamat IP Tujuan.

Infoblox Network Identity Operating System (NIOS)

Ikuti petunjuk ini untuk mengaktifkan penerusan syslog Log Infoblox NIOS. Gunakan alamat IP atau nama host untuk perangkat Linux dengan agen Linux yang diinstal sebagai alamat IP Tujuan.

Manajemen Titik Akhir Terpadu Ivanti

Ikuti instruksi untuk menyiapkan Tindakan Pemberitahuan untuk mengirim log ke server syslog.

Konektor data ini dikembangkan menggunakan Ivanti Unified Endpoint Management Release 2021.1 Versi 11.0.3.374

Juniper SRX

1. Selesaikan instruksi berikut untuk mengonfigurasi Juniper SRX untuk meneruskan syslog:

   • Log Lalu Lintas (Log Kebijakan Keamanan)
   • Log Sistem

2. Gunakan alamat IP atau nama host untuk perangkat Linux dengan agen Linux yang diinstal sebagai alamat IP Tujuan.

Platform Keamanan Jaringan McAfee

Selesaikan langkah-langkah konfigurasi berikut untuk mendapatkan log Platform Keamanan Jaringan McAfee® ke Microsoft Sentinel.

1. Teruskan pemberitahuan dari manajer ke server syslog.

2. Anda harus menambahkan profil pemberitahuan syslog. Saat membuat profil, untuk memastikan bahwa peristiwa diformat dengan benar, masukkan teks berikut di kotak teks Pesan:

   <SyslogAlertForwarderNSP>:|SENSOR_ALERT_UUID|ALERT_TYPE|ATTACK_TIME|ATTACK_NAME|ATTACK_ID |ATTACK_SEVERITY|ATTACK_SIGNATURE|ATTACK_CONFIDENCE|ADMIN_DOMAIN|SENSOR_NAME|INTERFACE |SOURCE_IP|SOURCE_PORT|DESTINATION_IP|DESTINATION_PORT|CATEGORY|SUB_CATEGORY |DIRECTION|RESULT_STATUS|DETECTION_MECHANISM|APPLICATION_PROTOCOL|NETWORK_PROTOCOL|

Konektor data ini dikembangkan menggunakan McAfee® Network Security Platform versi: 10.1.x.

McAfee ePolicy Orchestrator

Hubungi penyedia untuk panduan tentang cara mendaftarkan server syslog.

Microsoft Sysmon Untuk Linux

Konektor data ini tergantung pada pengurai ASIM berdasarkan Fungsi Kusto untuk bekerja seperti yang diharapkan. Sebarkan pengurai.

Fungsi berikut disebarkan:

• vimFileEventLinuxSysmonFileCreated, vimFileEventLinuxSysmonFileDeleted
• vimProcessCreateLinuxSysmon, vimProcessTerminateLinuxSysmon
• vimNetworkSessionLinuxSysmon

Baca selengkapnya

Nasuni

Ikuti petunjuk di Panduan Konsol Manajemen Nasuni untuk mengonfigurasi Nasuni Edge Appliances untuk meneruskan peristiwa syslog. Gunakan alamat IP atau nama host perangkat Linux yang menjalankan Agen Azure Monitor di bidang konfigurasi Server untuk pengaturan syslog.

OpenVPN

Instal agen di Server tempat OpenVPN diteruskan. Log server OpenVPN ditulis ke dalam file syslog umum (tergantung pada distribusi Linux yang digunakan: misalnya /var/log/messages).

Audit Oracle Database

Selesaikan langkah-langkah berikut.

1. Buat database Oracle Ikuti langkah-langkah ini.
2. Masuk ke database Oracle yang Anda buat. Ikuti langkah-langkah ini.
3. Aktifkan pengelogan terpadu melalui syslog dengan Mengubah sistem untuk mengaktifkan pengeloganterpadu Mengikuti langkah-langkah ini.
4. Buat dan aktifkan kebijakan Audit untuk auditterpadu Ikuti langkah-langkah ini.
5. Mengaktifkan syslog dan Pemantau Peristiwa Captures untuk Jejak Audit Terpadu Ikuti langkah-langkah ini.

Pulse Connect Secure

Ikuti instruksi untuk mengaktifkan streaming syslog log Pulse Connect Secure. Gunakan alamat IP atau nama host untuk perangkat Linux dengan agen Linux yang diinstal sebagai alamat IP Tujuan.

RSA SecurID

Selesaikan langkah-langkah berikut untuk mendapatkan log RSA® SecurID Authentication Manager ke Microsoft Azure Sentinel. Ikuti instruksi ini untuk meneruskan pemberitahuan dari Manajer ke server syslog.

Konektor data ini dikembangkan menggunakan versi RSA SecurID Authentication Manager: 8.4 dan 8.5

Sophos XG Firewall

Ikuti petunjuk ini untuk mengaktifkan streaming syslog. Gunakan alamat IP atau nama host untuk perangkat Linux dengan agen Linux yang diinstal sebagai alamat IP Tujuan.

Perlindungan Titik Akhir Symantec

Ikuti instruksi ini untuk mengonfigurasi Perlindungan Titik Akhir Symantec untuk meneruskan syslog. Gunakan alamat IP atau nama host untuk perangkat Linux dengan agen Linux yang diinstal sebagai alamat IP Tujuan.

Symantec ProxySG

1. Masuk ke Blue Coat Management Console.

2. Pilih Format Pengelogan> Akses Konfigurasi.>

3. Pilih baru.

4. Masukkan nama unik di bidang Nama Format.

5. Pilih tombol radio untuk String format kustom dan tempelkan string berikut ke bidang .

   1 $(date) $(time) $(time-taken) $(c-ip) $(cs-userdn) $(cs-auth-groups) $(x-exception-id) $(sc-filter-result) $(cs-categories) $(quot)$(cs(Referer))$(quot) $(sc-status) $(s-action) $(cs-method) $(quot)$(rs(Content-Type))$(quot) $(cs-uri-scheme) $(cs-host) $(cs-uri-port) $(cs-uri-path) $(cs-uri-query) $(cs-uri-extension) $(quot)$(cs(User-Agent))$(quot) $(s-ip) $(sr-bytes) $(rs-bytes) $(x-virus-id) $(x-bluecoat-application-name) $(x-bluecoat-application-operation) $(cs-uri-port) $(x-cs-client-ip-country) $(cs-threat-risk)

6. Pilih OK.

7. Pilih Terapkann.

8. Ikuti instruksi ini untuk mengaktifkan streaming syslog log Access . Gunakan alamat IP atau nama host untuk perangkat Linux dengan agen Linux yang diinstal sebagai alamat IP Tujuan

Symantec VIP

Ikuti instruksi ini untuk mengonfigurasi Symantec VIP Enterprise Gateway untuk meneruskan syslog. Gunakan alamat IP atau nama host untuk perangkat Linux dengan agen Linux yang diinstal sebagai alamat IP Tujuan.

VMware ESXi

1. Ikuti petunjuk berikut untuk mengonfigurasi VMware ESXi untuk meneruskan syslog:

   • VMware ESXi 5.0+

2. Gunakan alamat IP atau nama host untuk perangkat Linux dengan agen Linux yang diinstal sebagai alamat IP Tujuan.

WatchGuard Firebox

Ikuti petunjuk ini untuk mengirim data log WatchGuard Firebox melalui syslog.

Konten terkait

• Menyerap pesan syslog dan CEF ke Microsoft Azure Sentinel dengan Agen Azure Monitor
• Syslog melalui AMA dan Common Event Format (CEF) melalui konektor AMA untuk Microsoft Azure Sentinel