AMA veri bağlayıcısı aracılığıyla Syslog - Microsoft Sentinel veri alımı için belirli bir aleti veya cihazı yapılandırma

Birçok güvenlik aletinden ve cihazdan günlük toplama, Microsoft Sentinel'de AMA veri bağlayıcısı aracılığıyla Syslog tarafından desteklenir. Bu makalede, bu veri bağlayıcısını kullanan belirli güvenlik gereçleri ve cihazlar için sağlayıcı tarafından sağlanan yükleme yönergeleri listelenmektedir. Güncelleştirmeler, daha fazla bilgi veya güvenlik gereciniz veya cihazınız için bilgilerin kullanılamadığı durumlar için sağlayıcıya başvurun.

Verileri Microsoft Sentinel için Log Analytics çalışma alanınıza iletmek için Azure İzleyici Aracısı ile syslog ve CEF iletilerini Microsoft Sentinel'e alma adımlarını tamamlayın. Bu adımları tamamladığınızda Syslog'u Microsoft Sentinel'de AMA veri bağlayıcısı aracılığıyla yükleyin. Ardından, kurulumu tamamlamak için bu makaledeki uygun sağlayıcı yönergelerini kullanın.

Bu gereçlerin veya cihazların her biri için ilgili Microsoft Sentinel çözümü hakkında daha fazla bilgi için ürün türü>çözüm şablonları için Azure Market arayın veya Microsoft Sentinel'deki İçerik hub'ından çözümü gözden geçirin.

Barracuda CloudGen Firewall

Syslog akışını yapılandırmak için yönergeleri izleyin. Hedef IP adresi için Microsoft Sentinel aracısının yüklü olduğu Linux makinesi için IP adresini veya ana bilgisayar adını kullanın.

Blackberry CylancePROTECT

CylancePROTECT'i syslog'u iletecek şekilde yapılandırmak için bu yönergeleri izleyin. Hedef IP adresi olarak Linux aracısının yüklü olduğu Linux cihazı için IP adresini veya ana bilgisayar adını kullanın.

Cisco Uygulama Merkezli Altyapı (ACI)

Cisco ACI sistemini syslog aracılığıyla aracıyı yüklediğiniz uzak sunucuya günlük gönderecek şekilde yapılandırın. Syslog Hedefini, Hedef Grubunu ve Syslog Kaynağını yapılandırmak için bu adımları izleyin.

Bu veri bağlayıcısı Cisco ACI Release 1.x kullanılarak geliştirilmiştir.

Cisco Identity Services Altyapısı (ISE)

Cisco ISE dağıtımınızda uzak syslog koleksiyonu konumlarını yapılandırmak için bu yönergeleri izleyin.

Cisco Stealthwatch

Cisco Stealthwatch günlüklerini Microsoft Sentinel'e almak için aşağıdaki yapılandırma adımlarını tamamlayın.

1. Stealthwatch Yönetim Konsolu'nda (SMC) yönetici olarak oturum açın.

2. Menü çubuğunda Yapılandırma>Yanıt Yönetimi'ni seçin.

3. Yanıt Yönetimi menüsündeki Eylemler bölümünde Syslog İletisi Ekle'yi > seçin.

4. Syslog İleti eylemi ekle penceresinde parametreleri yapılandırın.

5. Aşağıdaki özel biçimi girin:

   |Lancope|Stealthwatch|7.3|{alarm_type_id}|0x7C|src={source_ip}|dst={target_ip}|dstPort={port}|proto={protocol}|msg={alarm_type_description}|fullmessage={details}|start={start_active_time}|end={end_active_time}|cat={alarm_category_name}|alarmID={alarm_id}|sourceHG={source_host_group_names}|targetHG={target_host_group_names}|sourceHostSnapshot={source_url}|targetHostSnapshot={target_url}|flowCollectorName={device_name}|flowCollectorIP={device_ip}|domain={domain_name}|exporterName={exporter_hostname}|exporterIPAddress={exporter_ip}|exporterInfo={exporter_label}|targetUser={target_username}|targetHostname={target_hostname}|sourceUser={source_username}|alarmStatus={alarm_status}|alarmSev={alarm_severity_name}

6. Listeden özel biçimi seçin ve Tamam'ı seçin.

7. Yanıt Yönetimi > Kuralları'nı seçin.

8. Alarm Ekle ve Barındır'ı seçin.

9. Ad alanına bir kural adı girin.

10. Tür ve Seçenekler menülerinden değerleri seçerek kurallar oluşturun. Daha fazla kural eklemek için üç nokta simgesini seçin. Konak Alarmı için deyimde mümkün olduğunca çok türü birleştirin.

Bu veri bağlayıcısı Cisco Stealthwatch sürüm 7.3.2 kullanılarak geliştirilmiştir

Cisco Unified Computing Systems (UCS)

Cisco UCS'yi syslog'u iletecek şekilde yapılandırmak için bu yönergeleri izleyin. Hedef IP adresi olarak Linux aracısının yüklü olduğu Linux cihazı için IP adresini veya ana bilgisayar adını kullanın.

Cisco Web Güvenlik Gereci (WSA)

Syslog aracılığıyla günlükleri aracıyı yüklediğiniz uzak sunucuya iletmek için Cisco'u yapılandırın. Syslog aracılığıyla günlükleri iletmek üzere Cisco WSA'yı yapılandırmak için bu adımları izleyin

Alma Yöntemi Olarak Syslog Gönderme'yi seçin.

Bu veri bağlayıcısı Cisco Web Security Appliance için AsyncOS 14.0 kullanılarak geliştirilmiştir

Citrix Uygulama Teslim Denetleyicisi (ADC)

Günlükleri Syslog aracılığıyla iletmek için Citrix ADC'yi (eski NetScaler) yapılandırın.

1. Yapılandırma sekmesi > Sistem > Denetimi > Syslog > Sunucuları sekmesine gidin
2. Syslog eylem adını belirtin.
3. Uzak Syslog sunucusu ve bağlantı noktasının IP adresini ayarlayın.
4. Uzak syslog sunucu yapılandırmanıza bağlı olarak Aktarım türünü TCP veya UDP olarak ayarlayın.
5. Daha fazla bilgi için Citrix ADC (eski NetScaler) belgelerine bakın.

Digital Guardian Veri Kaybı Önleme

Syslog aracılığıyla günlükleri iletmek üzere Digital Guardian'ı yapılandırmak için aşağıdaki adımları tamamlayın:

1. Dijital Koruyucu Yönetim Konsolu'nda oturum açın.
2. Çalışma Alanı>Verilerini Dışarı Aktarma>Dışarı Aktarma Oluştur Dışarı Aktarma'ya tıklayın.
3. Veri Kaynakları listesinden, veri kaynağı olarak Uyarılar veya Olaylar'ı seçin.
4. Dışarı aktarma türü listesinden Syslog'ı seçin.
5. Tür listesinden, aktarım protokolü olarak UDP veya TCP'yi seçin.
6. Sunucu alanına uzak syslog sunucunuzun IP adresini yazın.
7. Bağlantı noktası alanına 514 (veya syslog sunucunuz varsayılan olmayan bağlantı noktası kullanacak şekilde yapılandırılmışsa başka bir bağlantı noktası) yazın.
8. Önem Düzeyi listesinden bir önem düzeyi seçin.
9. Etkin onay kutusunu seçin.
10. İleri'yi seçin.
11. Kullanılabilir alanlar listesinden, verilerinizi dışarı aktarmanız için Uyarı veya Olay alanları ekleyin.
12. Veri dışarı aktarmanızdaki alanlar için bir Ölçüt seçin ve İleri'yi seçin.
13. Ölçütler için bir grup seçin ve İleri'yi seçin.
14. Test Sorgusu'yu seçin.
15. İleri'yi seçin.
16. Veri dışarı aktarmayı kaydedin.

ESET Protect tümleştirmesi

Tüm olayları Syslog aracılığıyla göndermek için ESET PROTECT'i yapılandırın.

1. Syslog çıkışını yapılandırmak için bu yönergeleri izleyin. Biçim olarak BSD ve aktarım olarak TCP'yi seçtiğinizden emin olun.
2. Tüm günlükleri syslog'a aktarmak için bu yönergeleri izleyin. Çıkış biçimi olarak JSON'ı seçin.

Exabeam Advanced Analytics

Exabeam Advanced Analytics etkinlik günlüğü verilerini syslog aracılığıyla göndermek için bu yönergeleri izleyin.

Bu veri bağlayıcısı Exabeam Advanced Analytics i54 (Syslog) kullanılarak geliştirilmiştir

Forescout

Forescout günlüklerini Microsoft Sentinel'e almak için aşağıdaki adımları tamamlayın.

1. Yapılandıracak Alet'i seçin.
2. Forescout platformundaki uyarıları bir syslog sunucusuna iletmek için bu yönergeleri izleyin.
3. Syslog Tetikleyicileri sekmesindeki ayarları yapılandırın.

Bu veri bağlayıcısı Forescout Syslog Eklentisi sürümü kullanılarak geliştirilmiştir: v3.6

Gitlab

Syslog aracılığıyla Gitlab denetim günlüğü verilerini göndermek için bu yönergeleri izleyin.

ISC Bağlama

1. ISC Bağlamasını syslog: DNS Günlüklerini iletmek üzere yapılandırmak için şu yönergeleri izleyin.
2. syslog trafiğini aracıya göndermek için syslog'ı yapılandırın. Hedef IP adresi olarak Linux aracısının yüklü olduğu Linux cihazı için IP adresini veya ana bilgisayar adını kullanın.

Infoblox Ağ Kimliği İşletim Sistemi (NIOS)

Infoblox NIOS Günlüklerinin syslog iletmesini etkinleştirmek için bu yönergeleri izleyin. Hedef IP adresi olarak Linux aracısının yüklü olduğu Linux cihazı için IP adresini veya ana bilgisayar adını kullanın.

Ivanti Birleşik Uç Nokta Yönetimi

Syslog sunucusuna günlük göndermek için Uyarı Eylemleri'ni ayarlamak için yönergeleri izleyin.

Bu veri bağlayıcısı, Ivanti Unified Endpoint Management Release 2021.1 Sürüm 11.0.3.374 kullanılarak geliştirilmiştir

Juniper SRX

1. Juniper SRX'i syslog'ı iletecek şekilde yapılandırmak için aşağıdaki yönergeleri tamamlayın:

   • Trafik Günlükleri (Güvenlik İlkesi Günlükleri)
   • Sistem Günlükleri

2. Hedef IP adresi olarak Linux aracısının yüklü olduğu Linux cihazı için IP adresini veya ana bilgisayar adını kullanın.

McAfee Ağ Güvenlik Platformu

McAfee® Ağ Güvenlik Platformu günlüklerini Microsoft Sentinel'e almak için aşağıdaki yapılandırma adımlarını tamamlayın.

1. Uyarıları yöneticiden bir syslog sunucusuna iletin.

2. Bir syslog bildirim profili eklemeniz gerekir. Profil oluştururken olayların doğru biçimlendirildiğinden emin olmak için İleti metin kutusuna aşağıdaki metni girin:

   <SyslogAlertForwarderNSP>:|SENSOR_ALERT_UUID|ALERT_TYPE|ATTACK_TIME|ATTACK_NAME|ATTACK_ID |ATTACK_SEVERITY|ATTACK_SIGNATURE|ATTACK_CONFIDENCE|ADMIN_DOMAIN|SENSOR_NAME|INTERFACE |SOURCE_IP|SOURCE_PORT|DESTINATION_IP|DESTINATION_PORT|CATEGORY|SUB_CATEGORY |DIRECTION|RESULT_STATUS|DETECTION_MECHANISM|APPLICATION_PROTOCOL|NETWORK_PROTOCOL|

Bu veri bağlayıcısı, McAfee® Ağ Güvenlik Platformu sürümü: 10.1.x kullanılarak geliştirilmiştir.

McAfee ePolicy Orchestrator

Syslog sunucusunu kaydetme konusunda rehberlik için sağlayıcıya başvurun.

Linux için Microsoft Sysmon

Bu veri bağlayıcısı, kusto işlevlerini temel alan ASIM ayrıştırıcılarının beklendiği gibi çalışmasına bağlıdır. Ayrıştırıcıları dağıtın.

Aşağıdaki işlevler dağıtılır:

• vimFileEventLinuxSysmonFileCreated, vimFileEventLinuxSysmonFileDeleted
• vimProcessCreateLinuxSysmon, vimProcessTerminateLinuxSysmon
• vimNetworkSessionLinuxSysmon

Daha fazla bilgi edinin

Nasuni

Nasuni Edge Gereçlerini syslog olaylarını iletecek şekilde yapılandırmak için Nasuni Yönetim Konsolu Kılavuzu'ndaki yönergeleri izleyin. Syslog ayarları için Sunucular yapılandırma alanında Azure İzleyici Aracısı'nı çalıştıran Linux cihazının IP adresini veya ana bilgisayar adını kullanın.

OpenVPN

Aracıyı OpenVPN'in iletildiği Sunucuya yükleyin. OpenVPN sunucu günlükleri ortak syslog dosyasına yazılır (kullanılan Linux dağıtımına bağlı olarak: örn. /var/log/messages).

Oracle Veritabanı Denetimi

Aşağıdaki adımları tamamlayın.

1. Oracle veritabanını oluşturun Aşağıdaki adımları izleyin.
2. Oluşturduğunuz Oracle veritabanında oturum açın. Buradaki adımları izleyin.
3. Birleştirilmiş günlüğü etkinleştirmek için sistemi değiştirerek syslog üzerinden birleştirilmiş günlüğe kaydetmeyietkinleştirin. Aşağıdaki adımları izleyin.
4. Birleşik denetimiçin denetim ilkesi oluşturma ve etkinleştirme Bu adımları izleyin.
5. Birleştirilmiş Denetim İzi için syslog ve Olay Görüntüleyicisi Yakalamalarını etkinleştirme Aşağıdaki adımları izleyin.

Pulse Connect Secure

Pulse Connect Secure günlüklerinin syslog akışını etkinleştirmek için yönergeleri izleyin. Hedef IP adresi olarak Linux aracısının yüklü olduğu Linux cihazı için IP adresini veya ana bilgisayar adını kullanın.

RSA SecurID

RSA® SecurID Authentication Manager günlüklerini Microsoft Sentinel'e almak için aşağıdaki adımları tamamlayın. Uyarıları Yöneticiden bir syslog sunucusuna iletmek için bu yönergeleri izleyin.

Bu veri bağlayıcısı RSA SecurID Authentication Manager sürümü kullanılarak geliştirilmiştir: 8.4 ve 8.5

Sophos XG Firewall

Syslog akışını etkinleştirmek için bu yönergeleri izleyin. Hedef IP adresi olarak Linux aracısının yüklü olduğu Linux cihazı için IP adresini veya ana bilgisayar adını kullanın.

Symantec Endpoint Protection

Symantec Endpoint Protection'ı syslog'u iletecek şekilde yapılandırmak için bu yönergeleri izleyin. Hedef IP adresi olarak Linux aracısının yüklü olduğu Linux cihazı için IP adresini veya ana bilgisayar adını kullanın.

Symantec ProxySG

1. Mavi Kat Yönetim Konsolu'nda oturum açın.

2. Yapılandırma>Erişim Günlüğü>Biçimleri'ni seçin.

3. Yeni'yi seçin.

4. Biçim Adı alanına benzersiz bir ad girin.

5. Özel biçim dizesi için radyo düğmesini seçin ve aşağıdaki dizeyi alana yapıştırın.

   1 $(date) $(time) $(time-taken) $(c-ip) $(cs-userdn) $(cs-auth-groups) $(x-exception-id) $(sc-filter-result) $(cs-categories) $(quot)$(cs(Referer))$(quot) $(sc-status) $(s-action) $(cs-method) $(quot)$(rs(Content-Type))$(quot) $(cs-uri-scheme) $(cs-host) $(cs-uri-port) $(cs-uri-path) $(cs-uri-query) $(cs-uri-extension) $(quot)$(cs(User-Agent))$(quot) $(s-ip) $(sr-bytes) $(rs-bytes) $(x-virus-id) $(x-bluecoat-application-name) $(x-bluecoat-application-operation) $(cs-uri-port) $(x-cs-client-ip-country) $(cs-threat-risk)

6. Tamam'ı seçin.

7. Uygula n'yiseçin.

8. Access günlüklerinin syslog akışını etkinleştirmek için bu yönergeleri izleyin. Hedef IP adresi olarak Linux aracısının yüklü olduğu Linux cihazının IP adresini veya ana bilgisayar adını kullanın

Symantec VIP

Symantec VIP Enterprise Gateway'i syslog'u iletecek şekilde yapılandırmak için bu yönergeleri izleyin. Hedef IP adresi olarak Linux aracısının yüklü olduğu Linux cihazı için IP adresini veya ana bilgisayar adını kullanın.

VMware ESXi

1. VMware ESXi'yi syslog'u iletecek şekilde yapılandırmak için şu yönergeleri izleyin:

   • VMware ESXi 5.0+

2. Hedef IP adresi olarak Linux aracısının yüklü olduğu Linux cihazı için IP adresini veya ana bilgisayar adını kullanın.

WatchGuard Firebox

Syslog aracılığıyla WatchGuard Firebox günlük verilerini göndermek için bu yönergeleri izleyin.

İlgili içerik

• Azure İzleyici Aracısı ile syslog ve CEF iletilerini Microsoft Sentinel'e alma
• Microsoft Sentinel için AMA bağlayıcıları aracılığıyla AMA ve Ortak Olay Biçimi (CEF) aracılığıyla Syslog