AMA 데이터 커넥터를 통한 CEF - Microsoft Sentinel 데이터 수집을 위한 특정 어플라이언스 또는 디바이스 구성

많은 보안 어플라이언스 및 디바이스의 로그 수집은 Microsoft Sentinel의 AMA 데이터 커넥터를 통해 CEF(Common Event Format) 에서 지원됩니다. 이 문서에서는 이 데이터 커넥터를 사용하는 특정 보안 어플라이언스 및 디바이스에 대한 공급자 제공 설치 지침을 나열합니다. 업데이트, 자세한 정보 또는 보안 어플라이언스 또는 디바이스에 대한 정보를 사용할 수 없는 경우 공급자에게 문의하세요.

Microsoft Sentinel용 Log Analytics 작업 영역에 데이터를 수집하려면 Azure Monitor 에이전트를 사용하여 Microsoft Sentinel에 대한 수집 syslog 및 CEF 메시지의 단계를 완료합니다. 이러한 단계에는 Microsoft Sentinel에서 AMA 데이터 커넥터를 통해 CEF(Common Event Format) 를 설치하는 것이 포함됩니다. 커넥터가 설치되면 이 문서의 뒷부분에 나와 있는 디바이스에 적절한 지침을 사용하여 설정을 완료합니다.

For more information about the related Microsoft Sentinel solution for each of these appliances or devices, search the Azure Marketplace for the Product Type>Solution Templates or review the solution from the Content hub in Microsoft Sentinel.

AI 분석가 Darktrace

Syslog 에이전트를 통해 CEF 형식의 syslog 메시지를 Azure 작업 영역으로 전달하도록 Darktrace를 구성합니다.

1. Within the Darktrace Threat Visualizer, navigate to the System Config page in the main menu under Admin.
2. From the left-hand menu, select Modules and choose Microsoft Sentinel from the available Workflow Integrations.
3. Locate Microsoft Sentinel syslog CEF and select New to reveal the configuration settings, unless already exposed.
4. In the Server configuration field, enter the ___location of the log forwarder and optionally modify the communication port. 선택한 포트가 514로 설정되어 있고 모든 중간 방화벽에서 허용되는지 확인합니다.
5. 필요에 따라 경고 임계값, 시간 오프셋 또는 기타 설정을 구성합니다.
6. syslog 구문을 변경할 수 있도록 설정할 수 있는 다른 구성 옵션을 검토합니다.
7. Enable Send Alerts and save your changes.

Akamai 보안 이벤트

다음 단계에 따라 CEF 형식의 syslog 메시지를 프록시 컴퓨터에 보내도록 Akamai CEF 커넥터를 구성합니다. 컴퓨터의 IP 주소에서 포트 514 TCP에 로그를 보내야 합니다.

AristaAwakeSecurity

Complete the following steps to forward Awake Adversarial Model match results to a CEF collector listening on TCP port 514 at IP 192.168.0.1:

1. 절전 모드 해제 UI의 검색 관리 기술 페이지로 이동합니다.
2. +새 기술 추가를 선택합니다.
3. Set Expression to integrations.cef.tcp { destination: "192.168.0.1", port: 514, secure: false, severity: Warning }
4. Set Title to a descriptive name like, Forward Awake Adversarial Model match result to Microsoft Sentinel.
5. Set Reference Identifier to something easily discoverable like, integrations.cef.sentinel-forwarder.
6. Select Save.

정의 및 기타 필드를 저장한 후 몇 분 이내에 시스템은 감지될 때 새 모델 일치 결과를 CEF 이벤트 수집기로 보내기 시작합니다.

자세한 내용은 절전 모드 해제 UI의 도움말 설명서에서 보안 정보 및 이벤트 관리 푸시 통합 추가 페이지를 참조하세요.

Aruba ClearPass

Syslog 에이전트를 통해 CEF 형식의 syslog 메시지를 Microsoft Sentinel 작업 영역으로 전달하도록 Aruba ClearPass를 구성합니다.

1. 다음 지침에 따라 Syslog 를 전달하도록 Aruba ClearPass를 구성합니다.
2. Use the IP address or hostname for the Linux device with the Linux agent installed as the Destination IP address.

Barracuda WAF

Barracuda 웹 애플리케이션 방화벽은 AMA(Azure Monitoring Agent)를 통해 로그와 통합되고 Microsoft Sentinel로 직접 내보낼 수 있습니다.

1. Barracuda WAF 구성으로 이동하고 다음 매개 변수를 사용하여 연결을 설정하는 지침을 따릅니다.

2. Web Firewall logs facility: Go to the advanced settings for your workspace and on the Data>Syslog tabs. 시설이 있는지 확인합니다.

모든 지역의 데이터는 선택한 작업 영역에 저장됩니다.

Broadcom SymantecDLP

Syslog 에이전트를 통해 CEF 형식의 syslog 메시지를 Microsoft Sentinel 작업 영역으로 전달하도록 Symantec DLP를 구성합니다.

1. 다음 지침에 따라 Syslog를 전달하도록 Symantec DLP를 구성합니다.
2. Use the IP address or hostname for the Linux device with the Linux agent installed as the Destination IP address.

Cisco Firepower EStreamer

Firepower eNcore eStreamer 클라이언트를 설치하고 구성합니다. For more information, see the full install guide.

CiscoSEG

다음 단계를 완료하여 syslog를 통해 로그를 전달하도록 Cisco Secure Email Gateway를 구성합니다.

1. Configure Log Subscription.
2. 로그 유형 필드에서 통합 이벤트 로그를 선택합니다.

Citrix Web App 방화벽

CEF 형식의 syslog 메시지를 프록시 머신에 보내도록 Citrix WAF를 구성합니다.

• Find guides to configure WAF and CEF logs from Citrix Support.

• Follow this guide to forward the logs to proxy. Linux 컴퓨터 IP 주소의 TCP 포트 514로 로그를 보내도록 합니다.

Claroty

CEF를 사용하여 로그 전달을 구성합니다.

1. Navigate to the Syslog section of the Configuration menu.
2. Select +Add.
3. 새 Syslog 추가 대화 상자에서 원격 서버 IP, 포트, 프로토콜을 지정합니다.
4. Select Message Format - CEF.
5. Choose Save to exit the Add Syslog dialog.

Contrast Protect

여기에 설명된 대로 이벤트를 syslog에 전달하도록 Contrast Protect 에이전트를 구성합니다. https://docs.contrastsecurity.com/en/output-to-syslog.html 애플리케이션에 대한 일부 공격 이벤트를 생성합니다.

CrowdStrike Falcon

CrowdStrike Falcon SIEM Collector를 배포하여 Syslog 에이전트를 통해 CEF 형식의 syslog 메시지를 Microsoft Sentinel 작업 영역으로 전달합니다.

1. 다음 지침에 따라SIEM 수집 기 및 전달 syslog를 배포합니다.
2. Linux 에이전트가 대상 IP 주소로 설치된 Linux 디바이스의 IP 주소 또는 호스트 이름을 사용합니다.

CyberArk EPV(Enterprise Password Vault) 이벤트

EPV에서 cEF 형식의 syslog 메시지를 프록시 컴퓨터에 보내도록 dbparm.ini 구성합니다. 컴퓨터 IP 주소의 포트 514 TCP로 로그를 보내야 합니다.

Delinea Secret Server

CEF 형식의 syslog 메시지를 프록시 머신에 보내도록 보안 솔루션을 설정합니다. 컴퓨터의 IP 주소에서 포트 514 TCP에 로그를 보내야 합니다.

ExtraHop Reveal(x)

CEF 형식의 syslog 메시지를 프록시 머신에 보내도록 보안 솔루션을 설정합니다. 컴퓨터 IP 주소의 포트 514 TCP로 로그를 보내야 합니다.

1. 지시에 따라 Reveal(x) 시스템에 ExtraHop 검색 SIEM 커넥터 번들을 설치합니다. The SIEM Connector is required for this integration.
2. ExtraHop 검색 SIEM 커넥터 - CEF에 대한 트리거를 사용하도록 설정합니다.
3. 트리거를 만든 ODS syslog 대상으로 업데이트합니다. 

Reveal(x) 시스템은 Syslog 메시지를 CEF(Common Event Format)로 포맷한 다음, Microsoft Sentinel로 데이터를 보냅니다.

F5 Networks

Syslog 에이전트를 통해 CEF 형식의 syslog 메시지를 Microsoft Sentinel 작업 영역으로 전달하도록 F5를 구성합니다.

F5 애플리케이션 보안 이벤트 로깅 구성으로 이동하여 다음 지침을 사용하여 원격 로깅을 설정하는 지침을 따릅니다.

1. 원격 스토리지 유형을CEF로 설정합니다.
2. Set the Protocol setting to UDP.
3. Set the IP address to the syslog server IP address.
4. Set the port number to 514, or the port your agent uses.
5. Set the facility to the one that you configured in the syslog agent. By default, the agent sets this value to local4.
6. 최대 쿼리 문자열 크기를 구성한 것과 동일하게 설정할 수 있습니다.

FireEye 네트워크 보안

CEF를 사용하여 데이터를 보내려면 다음 단계를 완료합니다.

1. 관리자 계정으로 FireEye 어플라이언스로 로그인합니다.

2. Select Settings.

3. Select Notifications. Select rsyslog.

4. Check the Event type check box.

5. Rsyslog 설정이 다음과 같은지 확인합니다.

   • Default format: CEF
   • Default delivery: Per event
   • Default send as: Alert

Forcepoint CASB

CEF 형식의 syslog 메시지를 프록시 머신에 보내도록 보안 솔루션을 설정합니다. 컴퓨터의 IP 주소에서 포트 514 TCP에 로그를 보내야 합니다.

Forcepoint CSG

통합은 다음 두 가지 구현 옵션과 함께 사용할 수 있습니다.

1. 통합 구성 요소가 필요한 모든 종속성을 사용하여 이미 설치된 Docker 이미지를 사용합니다. Follow the instructions provided in the Integration Guide.
2. 정리 Linux 컴퓨터 내부에 통합 구성 요소를 수동으로 배포해야 합니다. Follow the instructions provided in the Integration Guide.

Forcepoint NGFW

CEF 형식의 syslog 메시지를 프록시 머신에 보내도록 보안 솔루션을 설정합니다. 컴퓨터의 IP 주소에서 포트 514 TCP에 로그를 보내야 합니다.

CEF용 ForgeRock Common Audit

ForgeRock에서 설명서 https://github.com/javaservlets/SentinelAuditEventHandler에 따라 Microsoft Sentinel에 대한 이 CAUD(Common Audit)를 설치하고 구성합니다. 다음으로, Azure에서 단계에 따라 AMA 데이터 커넥터를 통해 CEF를 구성합니다.

Fortinet

CEF 형식의 Syslog 메시지를 프록시 컴퓨터로 보내도록 Fortinet을 설정합니다. 컴퓨터 IP 주소의 포트 514 TCP로 로그를 보내야 합니다.

아래 CLI 명령을 복사하고 다음을 수행합니다.

• "서버 <ip 주소>"를 Syslog 에이전트의 IP 주소로 바꿉니다.
  
• Syslog 에이전트에서 구성한 시설을 사용하려면 "<facility_name>"을 설정합니다. 기본적으로 에이전트는 이를 local4로 설정합니다.
  
• Syslog 포트를 에이전트가 사용하는 포트인 514로 설정합니다.
  
• 초기 FortiOS 버전에서 CEF 형식을 사용하도록 설정하려면 명령 집합 "set csv disable"을 실행해야 할 수 있습니다.
  자세한 내용은 Fortinet 문서 라이브러리로 이동하여 버전을 선택하고 "핸드북" 및 "로그 메시지 참조" PDF를 사용합니다.
  

더 알아보세요 >

CLI를 사용하여 연결을 설정하여 다음 명령을 실행합니다. config log syslogd setting/n set status enable/nset format cef/nset port 514/nset server <ip_address_of_Receiver>/nend

iboss

CEF 형식의 syslog 메시지를 Azure 작업 영역으로 보내도록 위협 콘솔을 설정합니다. Make note of your Workspace ID and Primary Key within your Log Analytics workspace. Azure Portal의 Log Analytics 작업 영역 메뉴에서 작업 영역을 선택합니다. Then select Agents management in the Settings section.

1. iboss 콘솔 내에서 보고 및 분석으로 이동합니다.
2. Select Log Forwarding>Forward From Reporter.
3. Select Actions>Add Service.
4. Toggle to Microsoft Sentinel as a Service Type and input your Workspace ID/Primary Key along with other criteria. If a dedicated proxy Linux machine was configured, toggle to Syslog as a Service Type and configure the settings to point to your dedicated proxy Linux machine.
5. 설치가 완료되기까지 1~2분 정도 기다립니다.
6. Microsoft Sentinel 서비스를 선택하고 Microsoft Sentinel 설치 상태가 성공했는지 확인합니다. 전용 프록시 Linux 컴퓨터가 구성된 경우 연결의 유효성을 검사할 수 있습니다.

Illumio Core

이벤트 형식을 구성합니다.

1. PCE 웹 콘솔 메뉴에서 설정 > 이벤트 설정을 선택하여 현재 설정을 봅니다.
2. Select Edit to change the settings.
3. Set Event Format to CEF.
4. (Optional) Configure Event Severity and Retention Period.

외부 syslog 서버로 이벤트 전달을 구성합니다.

1. From the PCE web console menu, choose Settings>Event Settings.
2. Select Add.
3. Select Add Repository.
4. Complete the Add Repository dialog.
5. Select OK to save the event forwarding configuration.

Illusive Platform

1. CEF 형식의 syslog 메시지를 프록시 머신에 보내도록 보안 솔루션을 설정합니다. 컴퓨터의 IP 주소에서 포트 514 TCP에 로그를 보내야 합니다.

2. Sign into the Illusive Console, and navigate to Settings>Reporting.

3. Find Syslog Servers.

4. 다음 정보를 지정합니다.

   • 호스트 이름: Linux Syslog 에이전트 IP 주소 또는 FQDN 호스트 이름
   • Port: 514
   • Protocol: TCP
   • 감사 메시지: 서버에 감사 메시지 보내기

5. To add the syslog server, select Add.

Illusive 플랫폼에서 새 syslog 서버를 추가하는 방법에 대한 자세한 내용은 다음에서 Illusive Networks 관리 가이드를 참조하세요. https://support.illusivenetworks.com/hc/en-us/sections/360002292119-Documentation-by-Version

Imperva WAF 게이트웨이

This connector requires an Action Interface and Action Set to be created on the Imperva SecureSphere MX. 단계에 따라 요구 사항을 만듭니다.

1. Create a new Action Interface that contains the required parameters to send WAF alerts to Microsoft Sentinel.
2. Create a new Action Set that uses the Action Interface configured.
3. Microsoft Sentinel로 전송할 경고가 있는 모든 보안 정책에 작업 집합을 적용합니다.

Infoblox Cloud Data Connector

Linux syslog 에이전트를 통해 BloxOne 데이터를 Microsoft Sentinel로 보내도록 Infoblox CDC를 구성하려면 다음 단계를 완료합니다.

1. Navigate to Manage>Data Connector.
2. Select the Destination Configuration tab at the top.
3. Syslog 만들기 > 를 선택합니다.
   • Name: Give the new Destination a meaningful name, such as Microsoft-Sentinel-Destination.
   • Description: Optionally give it a meaningful description.
   • State: Set the state to Enabled.
   • Format: Set the format to CEF.
   • FQDN/IP: Enter the IP address of the Linux device on which the Linux agent is installed.
   • Port: Leave the port number at 514.
   • Protocol: Select desired protocol and CA certificate if applicable.
   • 저장 및 닫기를 선택합니다.
4. 맨 위에 있는 트래픽 흐름 구성 탭을 선택합니다.
5. Select Create.
   • Name: Give the new Traffic Flow a meaningful name, such as Microsoft-Sentinel-Flow.
   • Description: Optionally give it a meaningful description.
   • State: Set the state to Enabled.
   • Expand the Service Instance section.
     • Service Instance: Select your desired Service Instance for which the Data Connector service is enabled.
   • Expand the Source Configuration section.
     • Source: Select BloxOne Cloud Source.
     • Select all desired log types you wish to collect. 현재 지원되는 로그 유형은 다음과 같습니다.
       • TD(Threat Defense) 쿼리/응답 로그
       • TD(Threat Defense) 위협 피드 적중 횟수 로그
       • DDI 쿼리/응답 로그
       • DDI DHCP 임대 로그
   • Expand the Destination Configuration section.
     • Select the Destination you created.
   • 저장 및 닫기를 선택합니다.
6. 구성이 활성화할 약간의 시간을 허용합니다.

Infoblox SOC Insights

Linux syslog 에이전트를 통해 BloxOne 데이터를 Microsoft Sentinel로 보내도록 Infoblox CDC를 구성하려면 다음 단계를 완료합니다.

1. 데이터 커넥터 관리>로 이동합니다.
2. Select the Destination Configuration tab at the top.
3. Syslog 만들기 > 를 선택합니다.
   • Name: Give the new Destination a meaningful name, such as Microsoft-Sentinel-Destination.
   • Description: Optionally give it a meaningful description.
   • State: Set the state to Enabled.
   • Format: Set the format to CEF.
   • FQDN/IP: Enter the IP address of the Linux device on which the Linux agent is installed.
   • Port: Leave the port number at 514.
   • Protocol: Select desired protocol and CA certificate if applicable.
   • 저장 및 닫기를 선택합니다.
4. 맨 위에 있는 트래픽 흐름 구성 탭을 선택합니다.
5. Select Create.
   • Name: Give the new Traffic Flow a meaningful name, such as Microsoft-Sentinel-Flow.
   • Description: Optionally give it a meaningful description.
   • State: Set the state to Enabled.
   • Expand the Service Instance section.
     • Service Instance: Select your desired service instance for which the data connector service is enabled.
   • Expand the Source Configuration section.
     • Source: Select BloxOne Cloud Source.
     • Select the Internal Notifications Log Type.
   • Expand the Destination Configuration section.
     • Select the Destination you created.
   • 저장 및 닫기를 선택합니다.
6. 구성이 활성화할 약간의 시간을 허용합니다.

KasperskySecurityCenter

지침에 따라 Kaspersky Security Center에서 이벤트 내보내기를 구성합니다.

Morphisec

CEF 형식의 syslog 메시지를 프록시 머신에 보내도록 보안 솔루션을 설정합니다. 컴퓨터의 IP 주소에서 포트 514 TCP에 로그를 보내야 합니다.

Netwrix Auditor

지침에 따라 Netwrix 감사자에서 이벤트 내보내기를 구성합니다.

NozomiNetworks

CEF 형식의 syslog를 통해 경고, 감사 및 상태 로그를 보내도록 Nozomi Networks 디바이스를 구성하려면 다음 단계를 완료합니다.

1. 가디언 콘솔에 로그인합니다.
2. Navigate to Administration>Data Integration.
3. Select +Add.
4. 드롭다운에서 CEF(Common Event Format) 를 선택합니다.
5. Create New Endpoint using the appropriate host information.
6. Enable Alerts, Audit Logs, and Health Logs for sending.

Onapsis Platform

Syslog 에이전트에 로그 전달을 설정하려면 Onapsis 제품 내 도움말을 참조하세요.

1. Go to Setup>Third-party integrations>Defend Alarms and follow the instructions for Microsoft Sentinel.

2. Onapsis 콘솔이 에이전트가 설치된 프록시 컴퓨터에 연결할 수 있는지 확인합니다. 로그는 TCP를 사용하여 포트 514로 전송되어야 합니다.

OSSEC

다음 단계에 따라 syslog를 통해 경고를 보내는 OSSEC를 구성합니다.

팔로 알토 - XDR(Cortex)

Syslog 에이전트를 통해 CEF 형식의 메시지를 Microsoft Sentinel 작업 영역으로 전달하도록 Palo Alto XDR(Cortex)을 구성합니다.

1. Cortex 설정 및 구성으로 이동합니다.
2. Select to add New Server under External Applications.
3. Then specify the name and give the public IP of your syslog server in Destination.
4. Give Port number as 514.
5. From Facility field, select FAC_SYSLOG from dropdown.
6. Select Protocol as UDP.
7. Select Create.

PaloAlto-PAN-OS

Syslog 에이전트를 통해 CEF 형식의 syslog 메시지를 Microsoft Sentinel 작업 영역으로 전달하도록 Palo Alto Networks를 구성합니다.

1. CEF 이벤트를 보내기 위한 Palo Alto Networks NGFW를 구성합니다.

2. Palo Alto CEF 구성 및 Palo Alto 구성 Syslog 모니터링 단계 2, 3으로 이동하여 버전을 선택하고 다음 지침을 사용하여 지침을 따릅니다.

   1. Syslog 서버 형식을 BSD로 설정합니다.
   2. 텍스트를 편집기에 복사하고 붙여넣기 전에 로그 형식을 깨뜨릴 수 있는 문자를 제거합니다. PDF의 복사/붙여넣기 작업은 텍스트를 변경하고 임의의 문자를 삽입할 수도 있습니다.

Learn more

PaloAltoCDL

지침에 따라 Cortex Data Lake에서 syslog Server로 로그 전달을 구성합니다.

PingFederate

다음 단계에 따라 CEF 형식의 syslog를 통해 감사 로그를 보내는 PingFederate를 구성합니다.

RidgeSecurity

Configure the RidgeBot to forward events to syslog server as described here. 애플리케이션에 대한 일부 공격 이벤트를 생성합니다.

SonicWall Firewall

SonicWall 방화벽을 설정하여 CEF 형식의 syslog 메시지를 프록시 머신으로 보냅니다. 컴퓨터 IP 주소의 포트 514 TCP로 로그를 보내야 합니다.

Follow instructions. 그런 다음, 로컬 사용 4를 시설로 선택해야 합니다. 그런 다음, ArcSight를 syslog 형식으로 선택합니다.

Trend Micro Apex One

다음 단계에 따라 syslog를 통해 Apex Central 송신 경고를 구성합니다. While configuring, on step 6, select the log format CEF.

Trend Micro Deep Security

CEF 형식의 syslog 메시지를 프록시 머신에 보내도록 보안 솔루션을 설정합니다. 컴퓨터의 IP 주소에서 포트 514 TCP에 로그를 보내야 합니다.

1. Trend Micro Deep Security 이벤트를 syslog 에이전트로 전달합니다.
2. 추가 정보는 이 기술 문서를 참조하여 CEF 형식을 사용하는 새 syslog 구성을 정의합니다.
3. 이 새 구성을 사용하여 이러한 지침을 사용하여 syslog 에이전트에 이벤트를 전달하도록 Deep Security Manager를 구성합니다.
4. Make sure to save the TrendMicroDeepSecurity function so that it queries the Trend Micro Deep Security data properly.

Trend Micro TippingPoint

ArcSight CEF 형식 v4.2 형식의 syslog 메시지를 프록시 컴퓨터에 보내도록 TippingPoint SMS를 설정합니다. 컴퓨터의 IP 주소에서 포트 514 TCP에 로그를 보내야 합니다.

vArmour 애플리케이션 컨트롤러

CEF 형식의 syslog 메시지를 프록시 머신에 보냅니다. 컴퓨터의 IP 주소에서 포트 514 TCP에 로그를 보내야 합니다.

https://support.varmour.com/hc/en-us/articles/360057444831-vArmour-Application-Controller-6-0-User-Guide에서 사용자 가이드를 다운로드합니다. 사용자 가이드에서 "모니터링 및 위반에 대한 Syslog 구성"을 참조하고 1~3단계를 수행합니다.

Vectra AI Detect

Syslog 에이전트를 통해 CEF 형식의 syslog 메시지를 Microsoft Sentinel 작업 영역으로 전달하도록 Vectra(X 시리즈) 에이전트를 구성합니다.

Vectra UI에서 설정 > 알림 및 편집 syslog 구성으로 이동합니다. 연결을 설정하려면 아래 지침을 따릅니다.

1. 새 대상(Microsoft Sentinel syslog 에이전트가 실행 중인 호스트)을 추가합니다.
2. Set the Port as 514.
3. Set the Protocol as UDP.
4. Set the format to CEF.
5. Set Log types. 사용 가능한 모든 로그 유형을 선택합니다.
6. Select on Save.
7. Select the Test button to send some test events.

자세한 내용은 Detect UI의 리소스 페이지에서 다운로드할 수 있는 Cognito Detect Syslog 가이드를 참조하세요.

Votiro

CEF 형식의 syslog 메시지를 전달자 컴퓨터로 보내도록 Votiro 엔드포인트를 설정합니다. 전달자 컴퓨터의 IP 주소에서 포트 514 TCP에 로그를 보내야 합니다.

WireX 네트워크 포렌식 플랫폼

CEF 형식의 syslog 메시지를 프록시 머신에 보내도록 NFP 솔루션을 구성하려면 WireX 지원(https://wirexsystems.com/contact-us/)에 문의하세요. 중앙 관리자가 컴퓨터 IP 주소의 포트 514 TCP로 로그를 보낼 수 있는지 확인합니다.

커넥터를 통한 WithSecure 요소

WithSecure Elements Connector 어플라이언스와 Microsoft Sentinel을 연결합니다. WithSecure Elements Connector 데이터 커넥터를 사용하면 WithSecure Elements 로그를 Microsoft Sentinel에 쉽게 연결하여 대시보드를 보고, 사용자 지정 경고를 만들고, 조사를 개선할 수 있습니다.

Syslog 에이전트를 통해 CEF 형식의 syslog 메시지를 Log Analytics 작업 영역으로 전달하도록 Secure Elements Connector로 구성합니다.

1. WithSecurity 솔루션과 Microsoft Sentinel 간의 프록시로 사용할 Microsoft Sentinel용 Linux 머신을 선택하거나 만듭니다. 컴퓨터는 온-프레미스 환경, Microsoft Azure 또는 기타 클라우드 기반 환경일 수 있습니다. Linux에는 syslog-ng 및 python/python3이(가) 설치되어 있어야 합니다.
2. Linux 컴퓨터에 AMA(Azure Monitoring Agent)를 설치하고 필요한 포트에서 수신 대기하고 Microsoft Sentinel 작업 영역에 메시지를 전달하도록 컴퓨터를 구성합니다. CEF 수집기는 포트 514 TCP에서 CEF 메시지를 수집합니다. 머신에 상승된 권한(sudo)이 있어야 합니다.
3. Go to EPP in WithSecure Elements Portal. Then navigate to Downloads. In Elements Connector section, select Create subscription key. You can check your subscription key in Subscriptions.
4. In Downloads in WithSecure Elements Connector section, select the correct installer and download it.
5. EPP의 경우 오른쪽 위 모서리에서 계정 설정을 엽니다. 그런 다음 관리 API 키 가져오기를 선택합니다. 키가 이전에 만들어진 경우 해당 키도 읽을 수 있습니다.
6. Elements Connector를 설치하려면 Elements Connector Docs를 따릅니다.
7. 설치 중에 API 액세스가 구성되지 않은 경우 Elements Connector에 대한 API 액세스 구성을 따릅니다.
8. Go to EPP, then Profiles, then use For Connector from where you can see the connector profiles. 새 프로필을 만들거나 읽기 전용이 아닌 기존 프로필을 편집합니다. In Event forwarding, enable it. Set SIEM system address: 127.0.0.1:514. 형식을 일반 이벤트 형식으로 설정합니다. Protocol is TCP. Save profile and assign it to Elements Connector in Devices tab.
9. To use the relevant schema in Log Analytics for the WithSecure Elements Connector, search for CommonSecurityLog.
10. CEF 연결의 유효성을 계속 검사합니다.

Zscaler

Syslog 에이전트에 CEF 형식의 syslog 메시지를 보내도록 Zscaler 제품을 설정합니다. 포트 514 TCP에 로그를 보내야 합니다.

자세한 내용은 Zscaler Microsoft Sentinel 통합 가이드를 참조하세요.

Related content

• Azure Monitor 에이전트를 사용하여 Microsoft Sentinel에 syslog 및 CEF 메시지 수집
• Microsoft Sentinel용 AMA 커넥터를 통한 AMA 및 CEF(Common Event Format)를 통한 Syslog