通过 AMA 的 CEF 数据连接器 - 配置特定设备以进行 Microsoft Sentinel 数据引入
Microsoft Sentinel 中的 通过 AMA 的通用事件格式 (CEF) 支持从许多安全设备和设备收集日志。 本文列出了提供商提供的使用此数据连接器的特定安全设备的安装说明。 请联系提供商以获取更新、详细信息,或信息不适用于你的安全设备的情况。
若要将数据引入 Microsoft Sentinel 的日志分析工作区,请完成使用 Azure Monitor 代理将 syslog 和 CEF 消息引入 Microsoft Sentinel 中的步骤。 这些步骤包括在 Microsoft Sentinel 中安装通过 AMA 的通用事件格式 (CEF) 数据连接器。 安装此连接器后,请使用适用于设备的说明(本文后面部分所示)完成设置。
有关每台设备的相关 Microsoft Sentinel 解决方案的详细信息,请查看 Microsoft Sentinel 中内容中心的解决方案。
Citrix Web 应用防火墙
将 Citrix WAF 配置为将 CEF 格式的 syslog 消息发送到代理计算机。
ExtraHop Reveal(x)
设置安全解决方案以将 CEF 格式的 syslog 消息发送到代理计算机。 确保将日志发送到计算机 IP 地址上的端口 514 TCP。
- 按照说明在 Reveal(x) 系统上安装 ExtraHop Detection SIEM Connector 捆绑包。 实现此集成需要使用 SIEM 连接器。
- 启用 ExtraHop 检测 SIEM 连接器 - CEF 的触发器。
- 使用创建的 ODS syslog 目标更新触发器。
Reveal(x) 系统将 syslog 消息格式化为通用事件格式 (CEF),然后将数据发送到 Microsoft Sentinel。
F5 网络
配置 F5,以通过 syslog 代理将 CEF 格式的 syslog 消息转发到 Microsoft Sentinel 工作区。
转到 F5 配置应用程序安全事件日志记录,按照说明使用以下准则来设置远程日志记录:
- 将“远程存储类型”设置为“CEF”。
- 将“协议设置”设置为“UDP”。
- 将“IP 地址”设置为 syslog 服务器 IP 地址。
- 将“端口号”设置为“514”,或代理将使用的端口。
- 将设施设置为在 syslog 代理中配置的设施。 默认情况下,代理会将此值设置为“local4”。
- 可以将“最大查询字符串大小”设置为与配置的相同。
PaloAlto-PAN-OS
将 Palo Alto Networks 配置为通过 syslog 代理将 syslog 消息以 CEF 格式转发到 Microsoft Sentine 工作区。
转到 Palo Alto CEF 配置和 Palo Alto 配置 Syslog 监视步骤 2、3,选择版本,然后按照以下指南的说明进行操作:
- 将“Syslog 服务器格式”设置为“BSD”。
- 将文本复制到编辑器,并移除可能中断日志格式的任何字符,然后再粘贴文本。 PDF 中的复制/粘贴操作可能会更改文本并插入随机字符。
PaloAltoCDL
按照说明配置从 Cortex Data Lake 转发到 syslog 服务器的日志。
Trend Micro Deep Security
设置安全解决方案以将 CEF 格式的 syslog 消息发送到代理计算机。 确保将日志发送到计算机 IP 地址上的端口 514 TCP。
- 将 Trend Micro Deep Security 事件转发到 syslog 代理。
- 通过参考此知识库文章以获取其他信息,定义使用 CEF 格式的新 syslog 配置。
- 配置“深度安全管理器”,以使用此新配置按照这些说明将事件转发到 syslog 代理。
- 请确保保存 TrendMicroDeepSecurity 函数,以便它正确查询 Trend Micro Deep Security 数据。
Zscaler
将 Zscaler 产品设置为将 CEF 格式的 syslog 消息发送到 syslog 代理。 确保在端口 514 TCP 上发送日志。
有关详细信息,请参阅 Zscaler Microsoft Sentinel 集成指南。