Aracılığıyla paylaş

AMA veri bağlayıcısı aracılığıyla CEF - Microsoft Sentinel veri alımı için belirli bir aleti veya cihazı yapılandırma

  • Makale

Birçok güvenlik aletinden ve cihazdan günlük toplama, Microsoft Sentinel'de AMA veri bağlayıcısı aracılığıyla Ortak Olay Biçimi (CEF) tarafından desteklenir. Bu makalede, bu veri bağlayıcısını kullanan belirli güvenlik gereçleri ve cihazlar için sağlayıcı tarafından sağlanan yükleme yönergeleri listelenmektedir. Güncelleştirmeler, daha fazla bilgi veya güvenlik gereciniz veya cihazınız için bilgilerin kullanılamadığı durumlar için sağlayıcıya başvurun.

Microsoft Sentinel için Log Analytics çalışma alanınıza veri almak için Azure İzleyici Aracısı ile Syslog ve CEF iletilerini Microsoft Sentinel'e alma adımlarını tamamlayın. Bu adımlar, Microsoft Sentinel'de AMA veri bağlayıcısı aracılığıyla Ortak Olay Biçimi'nin (CEF) yüklenmesini içerir. Bağlayıcı yüklendikten sonra, kurulumu tamamlamak için bu makalenin devamında gösterilen cihazınıza uygun yönergeleri kullanın.

Bu gereçlerin veya cihazların her biri için ilgili Microsoft Sentinel çözümü hakkında daha fazla bilgi için ürün türü>çözüm şablonları için Azure Market arayın veya Microsoft Sentinel'deki İçerik hub'ından çözümü gözden geçirin.

Önemli

Microsoft Sentinel, Microsoft Defender portalındaki Microsoft'un birleşik güvenlik operasyonları platformunda genel olarak kullanılabilir. Önizleme için Microsoft Sentinel, Microsoft Defender XDR veya E5 lisansı olmadan Defender portalında kullanılabilir. Daha fazla bilgi için Bkz . Microsoft Defender portalında Microsoft Sentinel.

Yapay Zeka Analisti Darktrace

Syslog iletilerini CEF biçiminde syslog aracısı aracılığıyla Azure çalışma alanınıza iletmek için Darktrace'i yapılandırın.

  1. Darktrace Tehdit Görselleştiricisi'nin içinde, Yönetici altındaki ana menüde Sistem Yapılandırması sayfasına gidin.
  2. Sol taraftaki menüden Modüller'i seçin ve kullanılabilir İş Akışı Tümleştirmeleri'nden Microsoft Sentinel'i seçin.
  3. Microsoft Sentinel syslog CEF'yi bulun ve daha önce kullanıma sunulmadığı sürece yapılandırma ayarlarını göstermek için Yeni'yi seçin.
  4. Sunucu yapılandırması alanına günlük ileticisinin konumunu girin ve isteğe bağlı olarak iletişim bağlantı noktasını değiştirin. Seçilen bağlantı noktasının 514 olarak ayarlandığından ve herhangi bir aracı güvenlik duvarı tarafından izin verildiğinden emin olun.
  5. Uyarı eşiklerini, zaman farklarını veya diğer ayarları gerektiği gibi yapılandırın.
  6. Syslog söz dizimini değiştiren etkinleştirmek isteyebileceğiniz diğer yapılandırma seçeneklerini gözden geçirin.
  7. Uyarı Gönder'i etkinleştirin ve değişikliklerinizi kaydedin.

Akamai Güvenlik Olayları

Akamai CEF bağlayıcısını ara sunucu makinesine CEF biçiminde syslog iletileri gönderecek şekilde yapılandırmak için bu adımları izleyin. Günlükleri makinenin IP adresindeki bağlantı noktası 514 TCP'ye gönderdiğinizden emin olun.

AristaAwakeSecurity

Uyanmış Saldırgan Model eşleştirme sonuçlarını IP 192.168.0.1'de TCP bağlantı noktası 514'te dinleyen bir CEF toplayıcısına iletmek için aşağıdaki adımları tamamlayın:

  1. Uyanık kullanıcı arabirimindeki Algılama Yönetimi Becerileri sayfasına gidin.
  2. + Yeni Beceri Ekle'yi seçin.
  3. İfadeyi olarak ayarla integrations.cef.tcp { destination: "192.168.0.1", port: 514, secure: false, severity: Warning }
  4. Başlık'ı, İleriye Doğru Uyanık Saldırgan Model eşleşme sonucu olarak Microsoft Sentinel gibi açıklayıcı bir ad olarak ayarlayın.
  5. Başvuru Tanımlayıcısı'nı integrations.cef.sentinel-forwarder gibi kolayca bulunabilen bir değere ayarlayın.
  6. Kaydet'i seçin.

Tanım ve diğer alanları kaydettikten sonra birkaç dakika içinde sistem, algılandıklarında CEF olay toplayıcısına yeni model eşleştirme sonuçları göndermeye başlar.

Daha fazla bilgi için Uyanık kullanıcı arabirimindeki Yardım Belgelerinin Güvenlik Bilgileri ve Olay Yönetimi Anında İletme Tümleştirmesi Ekleme sayfasına bakın.

Aruba ClearPass

Syslog iletilerini CEF biçiminde syslog aracısı aracılığıyla Microsoft Sentinel çalışma alanınıza iletmek için Aruba ClearPass'ı yapılandırın.

  1. Aruba ClearPass'ı syslog'u iletecek şekilde yapılandırmak için bu yönergeleri izleyin.
  2. Hedef IP adresi olarak Linux aracısının yüklü olduğu Linux cihazı için IP adresini veya ana bilgisayar adını kullanın.

Barracuda WAF

Barracuda Web Uygulaması Güvenlik Duvarı, Azure Monitoring Agent (AMA) aracılığıyla günlükleri doğrudan Microsoft Sentinel ile tümleştirebilir ve dışarı aktarabilir.

  1. Barracuda WAF yapılandırması'na gidin ve bağlantıyı ayarlamak için aşağıdaki parametreleri kullanarak yönergeleri izleyin.

  2. Web Güvenlik Duvarı günlükleri özelliği: Çalışma alanınızın gelişmiş ayarlarına ve Veri>Syslog sekmelerine gidin. Tesisin varolduğundan emin olun.

Tüm bölgelerdeki verilerin seçili çalışma alanında depolandığına dikkat edin.

Broadcom SymantecDLP

Symantec DLP'yi, syslog iletilerini SYSLOG aracısı aracılığıyla CEF biçiminde Microsoft Sentinel çalışma alanınıza iletecek şekilde yapılandırın.

  1. Symantec DLP'yi syslog'u iletecek şekilde yapılandırmak için bu yönergeleri izleyin
  2. Hedef IP adresi olarak Linux aracısının yüklü olduğu Linux cihazı için IP adresini veya ana bilgisayar adını kullanın.

Cisco Firepower EStreamer

Firepower eNcore eStreamer istemcisini yükleyin ve yapılandırın. Daha fazla bilgi için tam yükleme kılavuzuna bakın.

CiscoSEG

Cisco Secure Email Gateway'i syslog aracılığıyla günlükleri iletecek şekilde yapılandırmak için aşağıdaki adımları tamamlayın:

  1. Günlük Aboneliğini yapılandırın.
  2. Günlük Türü alanında Birleştirilmiş Olay Günlükleri'ne tıklayın.

Citrix Web App Güvenlik Duvarı

Citrix WAF'yi ara sunucu makinesine CEF biçiminde syslog iletileri gönderecek şekilde yapılandırın.

  • Citrix Desteği'nden WAF ve CEF günlüklerini yapılandırma kılavuzlarını bulun.

  • Günlükleri ara sunucuya iletmek için bu kılavuzu izleyin. Günlükleri Linux makinesinin IP adresinde 514 NUMARALı TCP bağlantı noktasına gönderdiğinizden emin olun.

Claroty

CEF kullanarak günlük iletmeyi yapılandırın.

  1. Yapılandırma menüsünün Syslog bölümüne gidin.
  2. +Ekle’yi seçin.
  3. Yeni Syslog Ekle İletişim Kutusunda Uzak Sunucu IP'sini, Bağlantı Noktasını, Protokolü belirtin.
  4. İleti Biçimi - CEF'yi seçin.
  5. Syslog Ekle iletişim kutusundan çıkmak için Kaydet'i seçin.

Karşıtlık Koruması

Karşıtlık Koruması aracısını burada açıklandığı gibi olayları syslog'a iletecek şekilde yapılandırın: https://docs.contrastsecurity.com/en/output-to-syslog.html. Uygulamanız için bazı saldırı olayları oluşturun.

CrowdStrike Falcon

Syslog iletilerini CEF biçiminde syslog aracısı aracılığıyla Microsoft Sentinel çalışma alanınıza iletmek için CrowdStrike Falcon SIEM Toplayıcısı'nı dağıtın.

  1. SIEM Toplayıcısı'nı dağıtmak ve syslog'u iletmek için bu yönergeleri izleyin.
  2. Hedef IP adresi olarak Linux aracısının yüklü olduğu Linux cihazı için IP adresini veya ana bilgisayar adını kullanın.

CyberArk Enterprise Password Vault (EPV) Olayları

EPV'de, syslog iletilerini ara sunucu makinesine CEF biçiminde göndermek için dbparm.ini yapılandırın. Günlükleri makinelerin IP adresinde 514 NUMARALı TCP bağlantı noktasına gönderdiğinizden emin olun.

Delinea Gizli Dizi Sunucusu

Güvenlik çözümünüzü, ara sunucu makinesine CEF biçiminde syslog iletileri gönderecek şekilde ayarlayın. Günlükleri makinenin IP adresindeki bağlantı noktası 514 TCP'ye gönderdiğinizden emin olun.

ExtraHop Reveal(x)

Güvenlik çözümünüzü, ara sunucu makinesine CEF biçiminde syslog iletileri gönderecek şekilde ayarlayın. Günlükleri makine IP adresinde 514 NUMARALı TCP bağlantı noktasına gönderdiğinizden emin olun.

  1. Reveal(x) sisteminize ExtraHop Algılama SIEM Bağlayıcısı paketini yüklemek için yönergeleri izleyin. Bu tümleştirme için SIEM Bağlayıcısı gereklidir.
  2. ExtraHop Algılama SIEM Bağlayıcısı - CEF için tetikleyiciyi etkinleştirin.
  3. Tetikleyiciyi, oluşturduğunuz ODS syslog hedefleri ile güncelleştirin. 

Reveal(x) sistemi syslog iletilerini Ortak Olay Biçiminde (CEF) biçimlendirip Microsoft Sentinel'e veri gönderir.

F5 Networks

F5'i, syslog iletilerini CEF biçiminde syslog aracısı aracılığıyla Microsoft Sentinel çalışma alanınıza iletecek şekilde yapılandırın.

F5 Uygulama Güvenliği Olay Günlüğünü Yapılandırma'ya gidin, aşağıdaki yönergeleri kullanarak uzaktan günlüğe kaydetmeyi ayarlamak için yönergeleri izleyin:

  1. Uzak depolama türünü CEF olarak ayarlayın.
  2. Protokol ayarını UDP olarak ayarlayın.
  3. IP adresini syslog sunucusu IP adresi olarak ayarlayın.
  4. Bağlantı noktası numarasını514 veya aracınızın kullandığı bağlantı noktası olarak ayarlayın.
  5. Tesisi syslog aracısında yapılandırdığınız tesise ayarlayın. Aracı varsayılan olarak bu değeri local4 olarak ayarlar.
  6. En Fazla Sorgu Dizesi Boyutu'nu yapılandırdığınızla aynı olacak şekilde ayarlayabilirsiniz.

FireEye Ağ Güvenliği

CEF kullanarak veri göndermek için aşağıdaki adımları tamamlayın:

  1. FireEye aletinde bir yönetici hesabıyla oturum açın.

  2. Ayarlar'ı seçin.

  3. Bildirimler'i seçin. rsyslog'ı seçin.

  4. Olay türü onay kutusunu işaretleyin.

  5. Rsyslog ayarlarının şunlar olduğundan emin olun:

    • Varsayılan biçim: CEF
    • Varsayılan teslim: Olay başına
    • Varsayılan gönderme türü: Uyarı

Forcepoint CASB

Güvenlik çözümünüzü, ara sunucu makinesine CEF biçiminde syslog iletileri gönderecek şekilde ayarlayın. Günlükleri makinenin IP adresindeki bağlantı noktası 514 TCP'ye gönderdiğinizden emin olun.

Forcepoint CSG

Tümleştirme iki uygulama seçeneğiyle kullanılabilir hale getirilir:

  1. Tümleştirme bileşeninin gerekli tüm bağımlılıklarla zaten yüklü olduğu docker görüntülerini kullanır. Tümleştirme Kılavuzu'nda sağlanan yönergeleri izleyin.
  2. Tümleştirme bileşeninin temiz bir Linux makinesi içinde el ile dağıt olmasını gerektirir. Tümleştirme Kılavuzu'nda sağlanan yönergeleri izleyin.

Forcepoint NGFW

Güvenlik çözümünüzü, ara sunucu makinesine CEF biçiminde syslog iletileri gönderecek şekilde ayarlayın. Günlükleri makinenin IP adresindeki bağlantı noktası 514 TCP'ye gönderdiğinizden emin olun.

CEF için ForgeRock Ortak Denetimi

ForgeRock'ta, microsoft sentinel için bu Ortak Denetim 'i (CAUD) konumundaki https://github.com/javaservlets/SentinelAuditEventHandlerbelgelere göre yükleyin ve yapılandırın. Ardından Azure'da, AMA veri bağlayıcısı aracılığıyla CEF'yi yapılandırma adımlarını izleyin.

Fortinet

Fortinet'inizi Syslog iletilerini ara sunucu makinesine CEF biçiminde gönderecek şekilde ayarlayın. Günlükleri makinenin IP adresindeki 514 TCP bağlantı noktasına gönderdiğinizden emin olun.

Aşağıdaki CLI komutlarını kopyalayın ve:

  • "sunucu <ip adresi>"ni Syslog aracısının IP adresiyle değiştirin.
  • Syslog aracısında yapılandırdığınız tesisi kullanmak için "<facility_name>" ayarlayın (aracı varsayılan olarak bunu yerel4 olarak ayarlar).
  • Syslog bağlantı noktasını, aracınızın kullandığı bağlantı noktası olan 514 olarak ayarlayın.
  • Erken FortiOS sürümlerinde CEF biçimini etkinleştirmek için "csv disable'ı ayarla" komutunu çalıştırmanız gerekebilir.
    Daha fazla bilgi için Fortinet Belge Kitaplığı'na gidin, sürümünüzü seçin ve "El Kitabı" ve "Günlük İletiSi Başvurusu" PDF'lerini kullanın.

Daha fazla bilgi edinin >

Aşağıdaki komutları çalıştırmak için CLI kullanarak bağlantıyı ayarlayın: config log syslogd setting/n set status enable/nset format cef/nset port 514/nset server <ip_address_of_Receiver>/nend

iboss

Azure çalışma alanınıza CEF biçiminde syslog iletileri göndermek için Tehdit Konsolunuzu ayarlayın. Log Analytics çalışma alanınızdaki Çalışma Alanı Kimliğinizi ve Birincil Anahtarınızı not edin. Azure portalındaki Log Analytics çalışma alanları menüsünden çalışma alanını seçin. Ardından Ayarlar bölümünde Aracı yönetimi'ni seçin.

  1. iboss Konsolunuzun içinde Raporlama ve Analiz'e gidin.
  2. Günlük İletmeyi>Muhabirden İlet'i seçin.
  3. Eylemler>Hizmet Ekle'yi seçin.
  4. Hizmet Türü olarak Microsoft Sentinel'e geçin ve diğer ölçütlerle birlikte Çalışma Alanı Kimliğinizi/Birincil Anahtarınızı girin. Ayrılmış bir ara sunucu Linux makinesi yapılandırıldıysa Hizmet Türü olarak Syslog'a geçin ve ayarları ayrılmış ara sunucu Linux makinenize işaret eden şekilde yapılandırın.
  5. Kurulumun tamamlanması için bir-iki dakika bekleyin.
  6. Microsoft Sentinel hizmetinizi seçin ve Microsoft Sentinel kurulum durumunun başarılı olduğunu doğrulayın. Ayrılmış bir ara sunucu Linux makinesi yapılandırıldıysa bağlantınızı doğrulayabilirsiniz.

Illumio Core

Olay biçimini yapılandırın.

  1. Geçerli ayarlarınızı görüntülemek için PCE web konsolu menüsünden Ayarlar > Olay Ayarları'nı seçin.
  2. Ayarları değiştirmek için Düzenle'yi seçin.
  3. Olay Biçimini CEF olarak ayarlayın.
  4. (İsteğe bağlı) Olay Önem Derecesini ve Saklama Süresini yapılandırın.

Olay iletmeyi bir dış syslog sunucusuna yapılandırın.

  1. PCE web konsolu menüsünden Ayarlar>Olay Ayarları'nı seçin.
  2. Ekle'yi seçin.
  3. Depo Ekle'yi seçin.
  4. Depo Ekle iletişim kutusunu tamamlayın.
  5. Olay iletme yapılandırmasını kaydetmek için Tamam'ı seçin.

Illusive Platform

  1. Güvenlik çözümünüzü, ara sunucu makinesine CEF biçiminde syslog iletileri gönderecek şekilde ayarlayın. Günlükleri makinenin IP adresindeki bağlantı noktası 514 TCP'ye gönderdiğinizden emin olun.

  2. Illusive Console'da oturum açın ve Ayarlar>Raporlama'ya gidin.

  3. Syslog Sunucularını bulun.

  4. Aşağıdaki bilgileri verin:

    • Ana bilgisayar adı: Linux Syslog aracısı IP adresi veya FQDN ana bilgisayar adı
    • Bağlantı noktası: 514
    • Protokol: TCP
    • Denetim iletileri: Sunucuya denetim iletileri gönderme

  5. Syslog sunucusunu eklemek için Ekle'yi seçin.

Illusive platformuna yeni bir syslog sunucusu ekleme hakkında daha fazla bilgi için, burada Illusive Networks Admin Guide(Illusive Networks Admin Guide) öğesini bulun: https://support.illusivenetworks.com/hc/en-us/sections/360002292119-Documentation-by-Version

Imperva WAF Ağ Geçidi

Bu bağlayıcı, Imperva SecureSphere MX üzerinde bir Eylem Arabirimi ve Eylem Kümesi oluşturulmasını gerektirir. Gereksinimleri oluşturmak için adımları izleyin.

  1. Microsoft Sentinel'e WAF uyarıları göndermek için gerekli parametreleri içeren yeni bir Eylem Arabirimi oluşturun.
  2. Yapılandırılan Eylem Arabiriminikullanan yeni bir Eylem Kümesi oluşturun.
  3. Microsoft Sentinel'e uyarı gönderilmesini istediğiniz güvenlik ilkelerine Eylem Kümesi'ni uygulayın.

Infoblox Bulut Veri Bağlayıcısı

Infoblox CDC'yi Linux syslog aracısı aracılığıyla BloxOne verilerini Microsoft Sentinel'e gönderecek şekilde yapılandırmak için aşağıdaki adımları tamamlayın.

  1. Veri Bağlayıcısını Yönet'e >gidin.
  2. Üst kısımdaki Hedef Yapılandırma sekmesini seçin.
  3. Syslog Oluştur'u > seçin.
    • Ad: Yeni Hedefe Microsoft-Sentinel-Destination gibi anlamlı bir ad verin.
    • Açıklama: İsteğe bağlı olarak anlamlı bir açıklama verin.
    • Durum: Durumu Etkin olarak ayarlayın.
    • Biçim: Biçimi CEF olarak ayarlayın.
    • FQDN/IP: Linux aracısının yüklü olduğu Linux cihazının IP adresini girin.
    • Bağlantı noktası: Bağlantı noktası numarasını 514 olarak bırakın.
    • Protokol: uygunsa istenen protokolü ve CA sertifikayı seçin.
    • Kaydet ve Kapat'ı seçin.
  4. Üst kısımdaki Trafik Akışı Yapılandırması sekmesini seçin.
  5. Oluştur'u belirleyin.
    • Ad: Yeni Trafik Akışına Microsoft-Sentinel-Flow gibi anlamlı bir ad verin.
    • Açıklama: İsteğe bağlı olarak anlamlı bir açıklama verin.
    • Durum: Durumu Etkin olarak ayarlayın.
    • Hizmet Örneği bölümünü genişletin.
      • Hizmet Örneği: Veri Bağlayıcısı hizmetinin etkinleştirildiği istediğiniz Hizmet Örneğini seçin.
    • Kaynak Yapılandırma bölümünü genişletin.
      • Kaynak: BloxOne Bulut Kaynağı'nı seçin.
      • Toplamak istediğiniz tüm günlük türlerini seçin. Şu anda desteklenen günlük türleri şunlardır:
        • Tehdit Savunması Sorgu/Yanıt Günlüğü
        • Threat Defense Threat Feeds Günlükte İsabet Ediyor
        • DDI Sorgu/Yanıt Günlüğü
        • DDI DHCP Kira Günlüğü
    • Hedef Yapılandırma bölümünü genişletin.
      • Oluşturduğunuz Hedefi seçin.
    • Kaydet ve Kapat'ı seçin.
  6. Yapılandırmanın etkinleştirilmesi için biraz zaman tanıyın.

Infoblox SOC İçgörüleri

Infoblox CDC'yi Linux syslog aracısı aracılığıyla BloxOne verilerini Microsoft Sentinel'e gönderecek şekilde yapılandırmak için aşağıdaki adımları tamamlayın.

  1. Veri Bağlayıcısını Yönet'e > gidin.
  2. Üst kısımdaki Hedef Yapılandırma sekmesini seçin.
  3. Syslog Oluştur'u > seçin.
    • Ad: Yeni Hedefe Microsoft-Sentinel-Destination gibi anlamlı bir ad verin.
    • Açıklama: İsteğe bağlı olarak anlamlı bir açıklama verin.
    • Durum: Durumu Etkin olarak ayarlayın.
    • Biçim: Biçimi CEF olarak ayarlayın.
    • FQDN/IP: Linux aracısının yüklü olduğu Linux cihazının IP adresini girin.
    • Bağlantı noktası: Bağlantı noktası numarasını 514 olarak bırakın.
    • Protokol: uygunsa istenen protokolü ve CA sertifikayı seçin.
    • Kaydet ve Kapat'ı seçin.
  4. Üst kısımdaki Trafik Akışı Yapılandırması sekmesini seçin.
  5. Oluştur'u belirleyin.
    • Ad: Yeni Trafik Akışına Microsoft-Sentinel-Flow gibi anlamlı bir ad verin.
    • Açıklama: İsteğe bağlı olarak anlamlı bir açıklama verin.
    • Durum: Durumu Etkin olarak ayarlayın.
    • Hizmet Örneği bölümünü genişletin.
      • Hizmet Örneği: Veri bağlayıcısı hizmetinin etkinleştirildiği istediğiniz hizmet örneğini seçin.
    • Kaynak Yapılandırma bölümünü genişletin.
      • Kaynak: BloxOne Bulut Kaynağı'nı seçin.
      • İç Bildirimler Günlük Türü'nü seçin.
    • Hedef Yapılandırma bölümünü genişletin.
      • Oluşturduğunuz Hedefi seçin.
    • Kaydet ve Kapat'ı seçin.
  6. Yapılandırmanın etkinleştirilmesi için biraz zaman tanıyın.

KasperskySecurityCenter

Kaspersky Güvenlik Merkezi'nden olay dışarı aktarmayı yapılandırmak için yönergeleri izleyin.

Morphisec

Güvenlik çözümünüzü, ara sunucu makinesine CEF biçiminde syslog iletileri gönderecek şekilde ayarlayın. Günlükleri makinenin IP adresindeki bağlantı noktası 514 TCP'ye gönderdiğinizden emin olun.

Netwrix Denetçisi

Netwrix Denetçisi'nden olay dışarı aktarmayı yapılandırmak için yönergeleri izleyin.

NozomiNetworks

Nozomi Networks cihazını syslog aracılığıyla CEF biçiminde uyarı, denetim ve sistem durumu günlükleri gönderecek şekilde yapılandırmak için aşağıdaki adımları tamamlayın:

  1. Koruyucu konsolunda oturum açın.
  2. Yönetim> Veri Entegrasyonu'e gidin.
  3. +Ekle’yi seçin.
  4. Açılan listeden Ortak Olay Biçimi'ni (CEF) seçin.
  5. Uygun konak bilgilerini kullanarak Yeni Uç Nokta oluşturun.
  6. Uyarıları, Denetim Günlüklerini ve Sistem Durumu Günlüklerini göndermek için etkinleştirin.

Onapsis Platformu

Syslog aracısına günlük iletmeyi ayarlamak için Onapsis ürün içi yardımına bakın.

  1. Üçüncü taraf tümleştirmelerini ayarlama>Alarmları> Savun'a gidin ve Microsoft Sentinel yönergelerini izleyin.

  2. Onapsis Konsolunuzun aracının yüklü olduğu ara sunucu makinesine erişebildiğinden emin olun. Günlükler TCP kullanılarak 514 numaralı bağlantı noktasına gönderilmelidir.

OSSEC

Syslog aracılığıyla uyarı gönderen OSSEC'i yapılandırmak için bu adımları izleyin.

Palo Alto - XDR (Cortex)

Palo Alto XDR'yi (Cortex) ILETILERI CEF biçiminde syslog aracısı aracılığıyla Microsoft Sentinel çalışma alanınıza iletecek şekilde yapılandırın.

  1. Cortex Ayarları ve Yapılandırmaları'na gidin.
  2. Dış Uygulamalar'ın altına Yeni Sunucu eklemek için seçin.
  3. Ardından adı belirtin ve Hedef'te syslog sunucunuzun genel IP'sini verin.
  4. Bağlantı noktası numarasını 514 olarak verin.
  5. Tesis alanında açılan listeden FAC_SYSLOG seçin.
  6. Protokol olarak UDP'yi seçin.
  7. Oluştur'u belirleyin.

PaloAlto-PAN-OS

Palo Alto Networks'i syslog iletilerini CEF biçiminde syslog aracısı aracılığıyla Microsoft Sentinel çalışma alanınıza iletecek şekilde yapılandırın.

  1. CeF olaylarını göndermek için Palo Alto Networks NGFW'yi yapılandırmaya gidin.

  2. Palo Alto CEF Yapılandırması ve Palo Alto Syslog İzlemeyi Yapılandırma adım 2, 3'e gidin, sürümünüzü seçin ve aşağıdaki yönergeleri kullanarak yönergeleri izleyin:

    1. Syslog sunucu biçimini BSD olarak ayarlayın.
    2. Metni bir düzenleyiciye kopyalayın ve yapıştırmadan önce günlük biçimini bozabilecek karakterleri kaldırın. PDF'den kopyalama/yapıştırma işlemleri metni değiştirebilir ve rastgele karakterler ekleyebilir.

Daha fazla bilgi edinin

PaloAltoCDL

Cortex Data Lake'ten syslog Sunucusuna günlük iletmeyi yapılandırmak için yönergeleri izleyin.

PingFederate

Syslog aracılığıyla CEF biçiminde pingFederate gönderme denetim günlüğünü yapılandırmak için bu adımları izleyin.

RidgeSecurity

RidgeBot'ı burada açıklandığı gibi olayları syslog sunucusuna iletecek şekilde yapılandırın. Uygulamanız için bazı saldırı olayları oluşturun.

SonicWall Güvenlik Duvarı

SonicWall Güvenlik Duvarınızı, ara sunucu makinesine CEF biçiminde syslog iletileri gönderecek şekilde ayarlayın. Günlükleri makinenin IP adresindeki 514 TCP bağlantı noktasına gönderdiğinizden emin olun.

Yönergeleri izleyin. Ardından tesis olarak yerel kullanım 4'i seçtiğinizden emin olun. Ardından syslog biçimi olarak ArcSight'ı seçin.

Trend Micro Apex One

Syslog aracılığıyla uyarı gönderen Apex Central'ı yapılandırmak için bu adımları izleyin. Yapılandırırken, 6. adımda CEF günlük biçimini seçin.

Trend Micro Deep Security

Güvenlik çözümünüzü, ara sunucu makinesine CEF biçiminde syslog iletileri gönderecek şekilde ayarlayın. Günlükleri makinenin IP adresindeki 514 NUMARALı TCP bağlantı noktasına gönderdiğinizden emin olun.

  1. Trend Micro Deep Security olaylarını syslog aracısına iletin.
  2. Ek bilgi için bu bilgi bankası makalesine başvurarak CEF biçimini kullanan yeni bir syslog Yapılandırması tanımlayın.
  3. Bu yönergeleri kullanarak olayları syslog aracısına iletmek için Deep Security Manager'ı bu yeni yapılandırmayı kullanacak şekilde yapılandırın.
  4. TrendMicroDeepSecurity işlevini, Trend Micro Deep Security verilerini düzgün bir şekilde sorgulaması için kaydettiğinizden emin olun.

Trend Micro TippingPoint

TippingPoint SMS'nizi ArcSight CEF Biçimi v4.2 biçimindeki syslog iletilerini ara sunucu makinesine gönderecek şekilde ayarlayın. Günlükleri makinenin IP adresindeki bağlantı noktası 514 TCP'ye gönderdiğinizden emin olun.

vArmour Uygulama Denetleyicisi

Syslog iletilerini ara sunucu makinesine CEF biçiminde gönderin. Günlükleri makinenin IP adresindeki bağlantı noktası 514 TCP'ye gönderdiğinizden emin olun.

kullanıcı kılavuzunu adresinden https://support.varmour.com/hc/en-us/articles/360057444831-vArmour-Application-Controller-6-0-User-Guideindirin. Kullanıcı kılavuzunda "syslog'u İzleme ve İhlaller için Yapılandırma" bölümüne bakın ve 1 ile 3 arasında adımları izleyin.

Vectra AI Detect

Syslog iletilerini CEF biçiminde syslog aracısı aracılığıyla Microsoft Sentinel çalışma alanınıza iletmek için Vectra (X Serisi) Aracısı'nı yapılandırın.

Vectra kullanıcı arabiriminden Ayarlar > Bildirimleri ve Syslog yapılandırmasını düzenle'ye gidin. Bağlantıyı ayarlamak için aşağıdaki yönergeleri izleyin:

  1. Yeni bir Hedef ekleyin (Microsoft Sentinel syslog aracısının çalıştığı konaktır).
  2. Bağlantı noktasını 514 olarak ayarlayın.
  3. Protokolü UDP olarak ayarlayın.
  4. Biçimi CEF olarak ayarlayın.
  5. Günlük türlerini ayarlayın. Kullanılabilir tüm günlük türlerini seçin.
  6. Kaydet'i seçin.
  7. Bazı test olayları göndermek için Test düğmesini seçin.

Daha fazla bilgi için Bkz. Cognito Detect Syslog Guide( Kullanıcı Arabirimini Algıla) sayfasındaki kaynak sayfasından indirilebilir.

Votiro

Votiro Uç Noktaları'nı syslog iletilerini ILETIci makinesine CEF biçiminde gönderecek şekilde ayarlayın. Günlükleri İletici makinesinin IP adresinde 514 NUMARALı TCP bağlantı noktasına gönderdiğinizden emin olun.

WireX Ağ Adli Tıp Platformu

NFP çözümünüzü ara sunucu makinesine CEF biçiminde syslog iletileri gönderecek şekilde yapılandırmak için WireX desteğine (https://wirexsystems.com/contact-us/) başvurun. Merkezi yöneticinin günlükleri makinenin IP adresinde 514 NUMARALı TCP bağlantı noktasına göndereebdiğinden emin olun.

Bağlayıcı aracılığıyla WithSecure Öğeleri

WithSecure Elements Bağlayıcısı gerecinizi Microsoft Sentinel'e bağlayın. WithSecure Elements Bağlayıcısı veri bağlayıcısı, Panoları görüntülemek, özel uyarılar oluşturmak ve araştırmayı geliştirmek için WithSecure Elements günlüklerinizi Microsoft Sentinel'e kolayca bağlamanıza olanak tanır.

Not

Veriler, Microsoft Sentinel'i çalıştırdığınız çalışma alanının coğrafi konumunda depolanır.

Syslog iletilerini CEF biçiminde syslog aracısı aracılığıyla Log Analytics çalışma alanınıza iletmek için Güvenli Öğeler Bağlayıcısı ile yapılandırın.

  1. Microsoft Sentinel'in WithSecurity çözümünüzle Microsoft Sentinel arasında ara sunucu olarak kullanması için bir Linux makinesi seçin veya oluşturun. Makine şirket içi bir ortam, Microsoft Azure veya başka bir bulut tabanlı ortam olabilir. Linux'un sahip syslog-ng olması ve python/python3 yüklemesi gerekir.
  2. Azure Monitoring Agent'ı (AMA) Linux makinenize yükleyin ve makineyi gerekli bağlantı noktasını dinleyecek ve iletileri Microsoft Sentinel çalışma alanınıza iletecek şekilde yapılandırın. CEF toplayıcısı 514 TCP numaralı bağlantı noktasında CEF iletilerini toplar. Makinenizde yükseltilmiş izinlere (sudo) sahip olmanız gerekir.
  3. WithSecure Öğeleri Portalı'nda EPP'ye gidin. Ardından İndirmeler'e gidin. Öğeler Bağlayıcısı bölümünde Abonelik anahtarı oluştur'u seçin. Abonelikler'de abonelik anahtarınızı de kontrol edebilirsiniz.
  4. WithSecure Elements Bağlayıcısı'ndaki İndirmeler bölümünde doğru yükleyiciyi seçin ve indirin.
  5. EPP'deyken sağ üst köşeden hesap ayarlarını açın. Ardından Yönetim API anahtarını al'ı seçin. Anahtar daha önce oluşturulduysa, orada da okunabilir.
  6. Öğeler Bağlayıcısı'nı yüklemek için Öğeler Bağlayıcısı Belgeleri'ni izleyin.
  7. Yükleme sırasında API erişimi yapılandırılmadıysa, Öğeler Bağlayıcısı için API erişimini yapılandırma'yı izleyin.
  8. EPP'ye, ardından Profiller'e gidin ve bağlayıcı profillerini görebileceğiniz Bağlayıcı İçin'i kullanın. Yeni bir profil oluşturun (veya var olan salt okunur olmayan bir profili düzenleyin). Olay iletme bölümünde etkinleştirin. SIEM sistem adresini ayarlayın: 127.0.0.1:514. Biçimi Ortak Olay Biçimi olarak ayarlayın. Protokol TCP'dir. Profili kaydedin ve Cihazlar sekmesinde Öğeler Bağlayıcısı'na atayın.
  9. Log Analytics'te WithSecure Elements Bağlayıcısı için ilgili şemayı kullanmak için CommonSecurityLog araması yapın.
  10. CEF bağlantınızı doğrulamaya devam edin.

Zscaler

Zscaler ürününü, syslog aracınıza CEF biçiminde syslog iletileri gönderecek şekilde ayarlayın. Günlükleri 514 TCP numaralı bağlantı noktasında gönderdiğinizden emin olun.

Daha fazla bilgi için bkz . Zscaler Microsoft Sentinel tümleştirme kılavuzu.

İlgili içerik