Compartilhar via

Conector de dados do CEF por AMA – Configurar dispositivo ou dispositivo específico para ingestão de dados do Microsoft Sentinel

A coleta de logs de muitos dispositivos e dispositivos de segurança é compatível com o CEF (Common Event Format) por meio do conector de dados AMA no Microsoft Sentinel. Este artigo lista as instruções de instalação fornecidas pelo provedor para dispositivos e dispositivos de segurança específicos que usam esse conector de dados. Entre em contato com o provedor para obter atualizações, mais informações ou quando as informações não estiverem disponíveis para seu dispositivo ou dispositivo de segurança.

Para ingerir dados em seu workspace do Log Analytics para Microsoft Sentinel, conclua as etapas em Ingerir mensagens de Syslog e CEF para o Microsoft Sentinel com o Agente do Azure Monitor. Essas etapas incluem a instalação do CEF (Common Event Format) por meio do conector de dados AMA no Microsoft Sentinel. Depois que o conector for instalado, use as instruções apropriadas para o seu dispositivo, mostradas posteriormente neste artigo, para concluir a configuração.

For more information about the related Microsoft Sentinel solution for each of these appliances or devices, search the Azure Marketplace for the Product Type>Solution Templates or review the solution from the Content hub in Microsoft Sentinel.

Important

O Microsoft Sentinel geralmente está disponível no portal do Microsoft Defender, inclusive para clientes sem o Microsoft Defender XDR ou uma licença E5.

Starting in July 2026, all customers using Microsoft Sentinel in the Azure portal will be redirected to the Defender portal and will use Microsoft Sentinel in the Defender portal only. Starting in July 2025, many new customers are automatically onboarded and redirected to the Defender portal.

Se você ainda estiver usando o Microsoft Sentinel no portal do Azure, recomendamos que você comece a planejar sua transição para o portal do Defender para garantir uma transição tranquila e aproveitar ao máximo a experiência de operações de segurança unificada oferecida pelo Microsoft Defender. Para obter mais informações, consulte It's Time to Move: Retiring Microsoft Sentinel's Azure portal for more security.

Darktrace, analista de IA

Configure o Darktrace para encaminhar mensagens de syslog no formato CEF para o workspace do Azure por meio do agente de syslog.

  1. Within the Darktrace Threat Visualizer, navigate to the System Config page in the main menu under Admin.
  2. From the left-hand menu, select Modules and choose Microsoft Sentinel from the available Workflow Integrations.
  3. Locate Microsoft Sentinel syslog CEF and select New to reveal the configuration settings, unless already exposed.
  4. In the Server configuration field, enter the ___location of the log forwarder and optionally modify the communication port. Verifique se a porta selecionada está definida como 514 e se ela é permitida por qualquer firewall intermediário.
  5. Configure quaisquer limites de alerta, deslocamentos de tempo ou outras configurações conforme necessário.
  6. Revise todas as outras opções de configuração que você deseja ativar que alteram a sintaxe do syslog.
  7. Enable Send Alerts and save your changes.

Eventos de segurança do Akamai

Siga estas etapas para configurar o conector do AKamai CEF para enviar mensagens syslog no formato CEF para o computador proxy. Envie os logs para a porta TCP 514 no endereço IP do computador.

AristaAwakeSecurity

Complete the following steps to forward Awake Adversarial Model match results to a CEF collector listening on TCP port 514 at IP 192.168.0.1:

  1. Navegue até a página Habilidades de Gerenciamento de Detecção na interface do usuário acordada.
  2. Selecione + Adicionar Nova Habilidade.
  3. Set Expression to integrations.cef.tcp { destination: "192.168.0.1", port: 514, secure: false, severity: Warning }
  4. Set Title to a descriptive name like, Forward Awake Adversarial Model match result to Microsoft Sentinel.
  5. Set Reference Identifier to something easily discoverable like, integrations.cef.sentinel-forwarder.
  6. Select Save.

Alguns minutos após salvar a definição e outros campos, o sistema começa a enviar novos resultados de correspondência de modelo para o coletor de eventos CEF à medida que são detectados.

Para obter mais informações, consulte a página Adicionando uma integração por push de gerenciamento de eventos e informações de segurança na documentação da ajuda na interface do usuário acordada.

Aruba ClearPass

Configure o Aruba ClearPass para encaminhar mensagens syslog no formato CEF para o workspace do Microsoft Sentinel por meio do agente syslog.

  1. Siga estas instruções para configurar o Aruba ClearPass para encaminhar o syslog.
  2. Use the IP address or hostname for the Linux device with the Linux agent installed as the Destination IP address.

Barracuda WAF

O Firewall de Aplicativo Web Barracuda pode se integrar e exportar logs diretamente para o Microsoft Sentinel por meio do AMA (Agente de Monitoramento do Azure).

  1. Vá para a configuração do BARRAcuda WAF e siga as instruções, usando os parâmetros a seguir para configurar a conexão.

  2. Web Firewall logs facility: Go to the advanced settings for your workspace and on the Data>Syslog tabs. Certifique-se de que a instalação existe.

Observe que os dados de todas as regiões são armazenados no espaço de trabalho selecionado.

Broadcom SymantecDLP

Configure o Symantec DLP para encaminhar mensagens syslog no formato CEF para o workspace do Microsoft Sentinel por meio do agente syslog.

  1. Siga estas instruções para configurar o DLP da Symantec para encaminhar o syslog
  2. Use the IP address or hostname for the Linux device with the Linux agent installed as the Destination IP address.

Cisco Firepower EStreamer

Instale e configure o cliente Firepower eNcore eStreamer. For more information, see the full install guide.

CiscoSEG

Conclua as etapas a seguir para configurar o Cisco Secure Email Gateway para encaminhar logs via syslog:

  1. Configure Log Subscription.
  2. Selecione Logs de Eventos Consolidados no campo Tipo de Log.

Citrix Web App Firewall

Configure o Citrix WAF para enviar mensagens syslog no formato CEF para a máquina proxy.

  • Find guides to configure WAF and CEF logs from Citrix Support.

  • Follow this guide to forward the logs to proxy. Certifique-se de enviar os logs para a porta 514 TCP no endereço IP do computador Linux.

Claroty

Configure o encaminhamento de log usando CEF.

  1. Navigate to the Syslog section of the Configuration menu.
  2. Select +Add.
  3. Na caixa de diálogo Adicionar Novo Syslog, especifiqueIP do Servidor Remoto, Porta, Protocolo.
  4. Select Message Format - CEF.
  5. Choose Save to exit the Add Syslog dialog.

Contrast Protect

Configure o agente do Contrast Protect para encaminhar eventos ao syslog, conforme descrito aqui: https://docs.contrastsecurity.com/en/output-to-syslog.html. Gere alguns eventos de ataque para o aplicativo.

CrowdStrike Falcon

Implante o CrowdStrike Falcon SIEM Collector para encaminhar mensagens syslog no formato CEF para o workspace do Microsoft Sentinel por meio do agente syslog.

  1. Siga estas instruções para implantar o Coletor SIEM e encaminhar o syslog.
  2. Use o endereço IP ou o nome do host para o dispositivo Linux com o agente Linux instalado como o Endereço IP de Destino.

Eventos do EPV (CyberArk Enterprise Password Vault)

No EPV, configure o dbparm.ini para enviar mensagens syslog no formato CEF para o computador proxy. Envie os logs para a porta TCP 514 no endereço IP dos computadores.

Delinear Servidor Secreto

Defina sua solução de segurança para enviar mensagens syslog no formato CEF para o computador proxy. Envie os logs para a porta TCP 514 no endereço IP do computador.

ExtraHop Reveal(x)

Defina sua solução de segurança para enviar mensagens syslog no formato CEF para o computador proxy. Envie os logs para a porta TCP 514 no endereço IP do computador.

  1. Siga as instruções para instalar o pacote do Conector SIEM de Detecção ExtraHop em seu sistema Reveal(x). The SIEM Connector is required for this integration.
  2. Habilite o gatilho para o Conector SIEM de Detecção ExtraHop – CEF.
  3. Atualize o gatilho com os destinos de syslog do ODS que você criou. 

O sistema Reveal(x) formata as mensagens do Syslog em CEF (Formato Comum de Evento) e envia dados ao Microsoft Sentinel.

F5 Networks

Configure F5 para encaminhar mensagens syslog no formato CEF para o workspace do Microsoft Sentinel por meio do agente syslog.

Vá para F5 Configurando o Registro em Log de Eventos de Segurança do Aplicativo, siga as instruções para configurar o log remoto usando as seguintes diretrizes:

  1. Defina o tipo de armazenamento remoto como CEF.
  2. Set the Protocol setting to UDP.
  3. Set the IP address to the syslog server IP address.
  4. Set the port number to 514, or the port your agent uses.
  5. Set the facility to the one that you configured in the syslog agent. By default, the agent sets this value to local4.
  6. Você pode definir o Tamanho Máximo da Cadeia de Caracteres de Consulta como o mesmo configurado.

Segurança de rede FireEye

Conclua as seguintes etapas para enviar dados usando o CEF:

  1. Faça login no dispositivo FireEye com uma conta de administrador.

  2. Select Settings.

  3. Select Notifications. Select rsyslog.

  4. Check the Event type check box.

  5. Verifique se as configurações do Rsyslog são:

    • Default format: CEF
    • Default delivery: Per event
    • Default send as: Alert

Forcepoint CASB

Defina sua solução de segurança para enviar mensagens syslog no formato CEF para o computador proxy. Envie os logs para a porta TCP 514 no endereço IP do computador.

Forcepoint CSG

A integração é disponibilizada com duas opções de implementações:

  1. Usa imagens do docker em que o componente de integração já está instalado com todas as dependências necessárias. Follow the instructions provided in the Integration Guide.
  2. Requer a implantação manual do componente de integração dentro de um computador Linux limpo. Follow the instructions provided in the Integration Guide.

Forcepoint NGFW

Defina sua solução de segurança para enviar mensagens syslog no formato CEF para o computador proxy. Envie os logs para a porta TCP 514 no endereço IP do computador.

Auditoria comum ForgeRock para CEF

No ForgeRock, instale e configure esta Auditoria Comum (CAUD) para o Microsoft Sentinel de acordo com a documentação em https://github.com/javaservlets/SentinelAuditEventHandler. Em seguida, no Azure, siga as etapas para configurar o CEF por meio do conector de dados AMA.

Fortinet

Defina o Fortinet para enviar mensagens do Syslog no formato CEF ao computador proxy. Envie os logs para a porta TCP 514 no endereço IP do computador.

Copie os comandos da CLI abaixo e:

  • Substitua o "<endereço IP> do servidor" pelo endereço IP do agente do Syslog.
  • Defina o "<facility_name>" para usar o recurso configurado no agente do Syslog (por padrão, o agente define isso como local4).
  • Defina a porta Syslog como 514, a porta que seu agente usa.
  • Para habilitar o CEF nas versões iniciais do FortiOS, talvez seja necessário executar o conjunto de comando "desabilitar CSV".
    Para obter mais informações, acesse a Biblioteca de Documentos fortinet, escolha sua versão e use os PDFs "Manual" e "Referência de Mensagem de Log".

Saiba Mais >

Configure a conexão usando a CLI para executar os seguintes comandos: config log syslogd setting/n set status enable/nset format cef/nset port 514/nset server <ip_address_of_Receiver>/nend

iboss

Defina o Console de Ameaças para enviar mensagens de syslog no formato CEF para o workspace do Azure. Make note of your Workspace ID and Primary Key within your Log Analytics workspace. Selecione o workspace no menu Workspace do Log Analytics no portal do Azure. Then select Agents management in the Settings section.

  1. Navegue até o Reporting &Analytics dentro do console do iboss.
  2. Select Log Forwarding>Forward From Reporter.
  3. Select Actions>Add Service.
  4. Toggle to Microsoft Sentinel as a Service Type and input your Workspace ID/Primary Key along with other criteria. If a dedicated proxy Linux machine was configured, toggle to Syslog as a Service Type and configure the settings to point to your dedicated proxy Linux machine.
  5. Aguarde de um a dois minutos para que a configuração seja concluída.
  6. Selecione o serviço do Microsoft Sentinel e verifique se o status de instalação do Microsoft Sentinel foi bem-sucedido. Se uma máquina Linux proxy dedicada estiver configurada, você poderá validar sua conexão.

Illumio Core

Configure o formato do evento.

  1. No menu do console Web do PCE, escolha Configurações > de Evento para exibir suas configurações atuais.
  2. Select Edit to change the settings.
  3. Set Event Format to CEF.
  4. (Optional) Configure Event Severity and Retention Period.

Configure o encaminhamento de eventos para um servidor syslog externo.

  1. From the PCE web console menu, choose Settings>Event Settings.
  2. Select Add.
  3. Select Add Repository.
  4. Complete the Add Repository dialog.
  5. Select OK to save the event forwarding configuration.

Illusive Platform

  1. Defina sua solução de segurança para enviar mensagens syslog no formato CEF para o computador proxy. Envie os logs para a porta TCP 514 no endereço IP do computador.

  2. Sign into the Illusive Console, and navigate to Settings>Reporting.

  3. Find Syslog Servers.

  4. Forneça as seguintes informações:

    • Nome do host: endereço IP do agente do Syslog do Linux ou nome do host FQDN
    • Port: 514
    • Protocol: TCP
    • Mensagens de auditoria: enviar mensagens de auditoria para o servidor

  5. To add the syslog server, select Add.

Para obter mais informações sobre como adicionar um novo servidor syslog na plataforma Illusive, encontre o Guia de administração do Illusive Networks aqui: https://support.illusivenetworks.com/hc/en-us/sections/360002292119-Documentation-by-Version

Imperva WAF Gateway

This connector requires an Action Interface and Action Set to be created on the Imperva SecureSphere MX. Siga as etapas para criar os requisitos.

  1. Create a new Action Interface that contains the required parameters to send WAF alerts to Microsoft Sentinel.
  2. Create a new Action Set that uses the Action Interface configured.
  3. Aplique o Conjunto de Ações a todas as políticas de segurança para as quais você deseja que alertas sejam enviados ao Microsoft Sentinel.

Conector de Dados de Nuvem do Infoblox

Conclua as etapas a seguir para configurar o CDC do Infoblox para enviar dados do BloxOne para o Microsoft Sentinel por meio do agente syslog do Linux.

  1. Navigate to Manage>Data Connector.
  2. Select the Destination Configuration tab at the top.
  3. Selecione Criar > Syslog.
    • Name: Give the new Destination a meaningful name, such as Microsoft-Sentinel-Destination.
    • Description: Optionally give it a meaningful description.
    • State: Set the state to Enabled.
    • Format: Set the format to CEF.
    • FQDN/IP: Enter the IP address of the Linux device on which the Linux agent is installed.
    • Port: Leave the port number at 514.
    • Protocol: Select desired protocol and CA certificate if applicable.
    • Selecione Salvar & Fechar.
  4. Selecione a guia Configuração de Fluxo de Tráfego na parte superior.
  5. Select Create.
    • Name: Give the new Traffic Flow a meaningful name, such as Microsoft-Sentinel-Flow.
    • Description: Optionally give it a meaningful description.
    • State: Set the state to Enabled.
    • Expand the Service Instance section.
      • Service Instance: Select your desired Service Instance for which the Data Connector service is enabled.
    • Expand the Source Configuration section.
      • Source: Select BloxOne Cloud Source.
      • Select all desired log types you wish to collect. Os tipos de log atualmente com suporte são:
        • Log de consulta/resposta de defesa contra ameaças
        • Log de ocorrências de feeds de ameaças da defesa contra ameaças
        • Log de consulta/resposta DDI
        • Log de concessão DHCP DDI
    • Expand the Destination Configuration section.
      • Select the Destination you created.
    • Selecione Salvar & Fechar.
  6. Permita que a configuração seja ativada por algum tempo.

Infoblox SOC Insights

Conclua as etapas a seguir para configurar o CDC do Infoblox para enviar dados do BloxOne para o Microsoft Sentinel por meio do agente syslog do Linux.

  1. Navegue até Gerenciar > o Conector de Dados.
  2. Select the Destination Configuration tab at the top.
  3. Selecione Criar > Syslog.
    • Name: Give the new Destination a meaningful name, such as Microsoft-Sentinel-Destination.
    • Description: Optionally give it a meaningful description.
    • State: Set the state to Enabled.
    • Format: Set the format to CEF.
    • FQDN/IP: Enter the IP address of the Linux device on which the Linux agent is installed.
    • Port: Leave the port number at 514.
    • Protocol: Select desired protocol and CA certificate if applicable.
    • Selecione Salvar & Fechar.
  4. Selecione a guia Configuração de Fluxo de Tráfego na parte superior.
  5. Select Create.
    • Name: Give the new Traffic Flow a meaningful name, such as Microsoft-Sentinel-Flow.
    • Description: Optionally give it a meaningful description.
    • State: Set the state to Enabled.
    • Expand the Service Instance section.
      • Service Instance: Select your desired service instance for which the data connector service is enabled.
    • Expand the Source Configuration section.
      • Source: Select BloxOne Cloud Source.
      • Select the Internal Notifications Log Type.
    • Expand the Destination Configuration section.
      • Select the Destination you created.
    • Selecione Salvar & Fechar.
  6. Permita que a configuração seja ativada por algum tempo.

KasperskySecurityCenter

Siga as instruções para configurar a exportação de eventos da Central de Segurança da Kaspersky.

Morphisec

Defina sua solução de segurança para enviar mensagens syslog no formato CEF para o computador proxy. Envie os logs para a porta TCP 514 no endereço IP do computador.

Netwrix Auditor

Siga as instruções para configurar a exportação de eventos do Netwrix Auditor.

NozomiNetworks

Conclua as etapas a seguir para configurar o dispositivo Nozomi Networks para enviar alertas, auditoria e logs de integridade via syslog no formato CEF:

  1. Faça login no console do Guardian.
  2. Navigate to Administration>Data Integration.
  3. Select +Add.
  4. Selecione o CEF (Formato de Evento Comum) na lista suspensa.
  5. Create New Endpoint using the appropriate host information.
  6. Enable Alerts, Audit Logs, and Health Logs for sending.

Onapsis Platform

Consulte a ajuda do produto Onapsis para configurar o encaminhamento de log para o agente syslog.

  1. Go to Setup>Third-party integrations>Defend Alarms and follow the instructions for Microsoft Sentinel.

  2. Certifique-se de que seu Console Onapsis possa acessar a máquina proxy em que o agente está instalado. Os logs devem ser enviados para a porta 514 usando TCP.

OSSEC

Siga estas etapas para configurar o envio de alertas do OSSEC por meio do syslog.

Palo Alto - XDR (córtex)

Configure o Palo Alto XDR (Cortex) para encaminhar mensagens no formato CEF para o workspace do Microsoft Sentinel por meio do agente syslog.

  1. Vá para Configurações e Configurações do Cortex.
  2. Select to add New Server under External Applications.
  3. Then specify the name and give the public IP of your syslog server in Destination.
  4. Give Port number as 514.
  5. From Facility field, select FAC_SYSLOG from dropdown.
  6. Select Protocol as UDP.
  7. Select Create.

PaloAlto-PAN-OS

Configure a Palo Alto Networks para encaminhar mensagens syslog no formato CEF para o workspace do Microsoft Sentinel por meio do agente syslog.

  1. Vá para configurar o Palo Alto Networks NGFW para enviar eventos CEF.

  2. Vá para Palo Alto CEF Configuration e Palo Alto Configure Syslog Monitoring etapas 2, 3, escolha sua versão e siga as instruções usando as seguintes diretrizes:

    1. Defina o formato do servidor Syslog como BSD.
    2. Copie o texto para um editor e remova todos os caracteres que possam quebrar o formato de log antes de colá-lo. As operações copiar/colar do PDF podem alterar o texto e inserir caracteres aleatórios.

Learn more

PaloAltoCDL

Siga as instruções para configurar o encaminhamento de logs do Cortex Data Lake para um servidor syslog.

PingFederate

Siga estas etapas para configurar o log de auditoria de envio do PingFederate por meio do syslog no formato CEF.

RidgeSecurity

Configure the RidgeBot to forward events to syslog server as described here. Gere alguns eventos de ataque para o aplicativo.

SonicWall Firewall

Configure o firewall da SonicWall para enviar mensagens syslog no formato CEF para a máquina proxy. Envie os logs para a porta TCP 514 no endereço IP do computador.

Follow instructions. Depois, selecione o uso local 4 como a instalação. Em seguida, selecione ArcSight como o formato syslog.

Trend Micro Apex One

Siga estas etapas para configurar o envio de alertas do Apex Central por meio do syslog. While configuring, on step 6, select the log format CEF.

Deep Security da Trend Micro

Defina sua solução de segurança para enviar mensagens syslog no formato CEF para o computador proxy. Envie os logs para a porta TCP 514 no endereço IP do computador.

  1. Encaminhe eventos do Trend Micro Deep Security para o agente syslog.
  2. Defina uma nova configuração de syslog que usa o formato CEF fazendo referência a este artigo de conhecimento para obter informações adicionais.
  3. Configure o Deep Security Manager para usar essa nova configuração para encaminhar eventos para o agente do syslog usando essas instruções.
  4. Make sure to save the TrendMicroDeepSecurity function so that it queries the Trend Micro Deep Security data properly.

Trend Micro TippingPoint

Defina o SMS do TippingPoint para enviar mensagens de syslog no formato ArcSight CEF Format v4.2 para a máquina proxy. Envie os logs para a porta TCP 514 no endereço IP do computador.

Controlador de Aplicativo vArmour

Envie mensagens de syslog no formato CEF para a máquina proxy. Envie os logs para a porta TCP 514 no endereço IP do computador.

Baixe o guia do usuário em https://support.varmour.com/hc/en-us/articles/360057444831-vArmour-Application-Controller-6-0-User-Guide. No guia do usuário, consulte "Configurando o Syslog para Monitoramento e Violações" e siga as etapas 1 a 3.

Detecção de IA do Vectra

Configure o Agente Vectra (Série X) para encaminhar mensagens syslog no formato CEF para o workspace do Microsoft Sentinel por meio do agente syslog.

Na interface do usuário do Vectra, navegue até Configurações > Notificações e Editar configuração do syslog. Siga as instruções abaixo para configurar a conexão:

  1. Adicione um novo Destino (que é o host em que o agente syslog do Microsoft Sentinel está em execução).
  2. Set the Port as 514.
  3. Set the Protocol as UDP.
  4. Set the format to CEF.
  5. Set Log types. Selecione todos os tipos de log disponíveis.
  6. Select on Save.
  7. Select the Test button to send some test events.

Para obter mais informações, confira o Guia de Syslog do Cognito Detect, que pode ser baixado na página de recursos na interface do usuário do Detect.

Votiro

Defina os Endpoints do Votiro para enviar mensagens syslog no formato CEF para a máquina do encaminhador. Certifique-se de enviar os logs para a porta 514 TCP no endereço IP da máquina do encaminhador.

Plataforma Forense da Rede da WireX

Entre em contato com o suporte da WireX (https://wirexsystems.com/contact-us/) para configurar sua solução NFP para enviar mensagens syslog no formato CEF para a máquina proxy. Verifique se o gerenciador central pode enviar os logs para o TCP da porta 514 no endereço IP do computador.

Elementos WithSecure por meio do Conector

Conecte seu dispositivo WithSecure Elements Connector ao Microsoft Sentinel. O conector de dados do Conector do WithSecure Elements permite que você conecte facilmente seus logs do WithSecure Elements ao Microsoft Sentinel para exibir painéis, criar alertas personalizados e melhorar a investigação.

Note

Os dados serão armazenados na localização geográfica do espaço de trabalho no qual você está executando o Microsoft Sentinel.

Configure com o Secure Elements Connector para encaminhar mensagens syslog no formato CEF para o workspace do Log Analytics por meio do agente syslog.

  1. Selecione ou crie um computador Linux para o Microsoft Sentinel usar como proxy entre sua solução WithSecurity e o Microsoft Sentinel. A máquina pode ser um ambiente local, Microsoft Azure ou outro ambiente baseado em nuvem. O Linux precisa ter syslog-ng e python/python3 instalados.
  2. Instale o AMA (Agente de Monitoramento do Azure) em seu computador Linux e configure o computador para escutar na porta necessária e encaminhar mensagens para seu workspace do Microsoft Sentinel. O coletor CEF coleta mensagens CEF na porta 514 TCP. Você deve ter permissões elevadas (sudo) no computador.
  3. Go to EPP in WithSecure Elements Portal. Then navigate to Downloads. In Elements Connector section, select Create subscription key. You can check your subscription key in Subscriptions.
  4. In Downloads in WithSecure Elements Connector section, select the correct installer and download it.
  5. Quando estiver no EPP, abra as configurações da conta no canto superior direito. Em seguida, selecione Obter chave de API de gerenciamento. Se a chave foi criada anteriormente, ela também pode ser lida lá.
  6. Para instalar o Elements Connector, siga o Elements Connector Docs.
  7. Se o acesso à API não estiver configurado durante a instalação, siga Configurando o acesso à API para o Elements Connector.
  8. Go to EPP, then Profiles, then use For Connector from where you can see the connector profiles. Crie um novo perfil (ou edite um perfil que não seja somente leitura). In Event forwarding, enable it. Set SIEM system address: 127.0.0.1:514. Defina o formato como Formato de Evento Comum. Protocol is TCP. Save profile and assign it to Elements Connector in Devices tab.
  9. To use the relevant schema in Log Analytics for the WithSecure Elements Connector, search for CommonSecurityLog.
  10. Continue validando a conectividade com o CEF.

Zscaler

Defina o produto Zscaler para enviar mensagens syslog no formato CEF para o seu agente syslog. Certifique-se de enviar os logs na porta 514 TCP.

Para obter mais informações, consulte o guia de integração do Zscaler Microsoft Sentinel.

Related content