Konektor Zscaler Private Access pro Microsoft Sentinel
Datový konektor Zscaler Private Access (ZPA) poskytuje možnost ingestovat události privátního přístupu Zscaler do Služby Microsoft Sentinel. Další informace najdete v dokumentaci k privátnímu přístupu Zscaler.
Jedná se o automaticky vygenerovaný obsah. Pokud potřebujete změny, obraťte se na poskytovatele řešení.
atributy Připojení oru
atribut Připojení or | Popis |
---|---|
Alias funkce Kusto | ZPAEvent |
Adresa URL funkce Kusto | https://aka.ms/sentinel-ZscalerPrivateAccess-parser |
Tabulky Log Analytics | ZPA_CL |
Podpora pravidel shromažďování dat | V současnosti není podporováno |
Podporováno | Microsoft Corporation |
Ukázky dotazů
Všechny protokoly
ZPAEvent
| sort by TimeGenerated
Pokyny k instalaci dodavatele
Poznámka:
Tento datový konektor závisí na analyzátoru založeném na funkci Kusto, která funguje podle očekávání. Pomocí těchto kroků vytvořte alias Funkce Kusto, ZPAEvent.
Poznámka:
Tento datový konektor byl vyvinut pomocí Zscaler Private Access verze: 21.67.1
- Instalace a onboarding agenta pro Linux nebo Windows
Nainstalujte agenta na server, kde se předávají protokoly privátního přístupu Zscaler.
Protokoly z Zscaler Private Access Serveru nasazeného na serverech s Linuxem nebo Windows shromažďují agenti Linuxu nebo Windows .
- Konfigurace protokolů, které se mají shromažďovat
Pokud chcete získat protokoly privátního přístupu Zscaler do Služby Microsoft Sentinel, postupujte podle následujících kroků konfigurace. Další podrobnosti o těchto krocích najdete v dokumentaci ke službě Azure Monitor. Protokoly privátního přístupu Zscaler se doručují prostřednictvím služby streamování protokolů (LSS). Podrobné informace najdete v dokumentaci k LSS.
Nakonfigurujte příjemce protokolů. Při konfiguraci příjemce protokolu zvolte jako šablonu protokolu JSON.
Stažení konfiguračního souboru zpa.conf wget -v https://aka.ms/sentinel-zscalerprivateaccess-conf -O zpa.conf
Přihlaste se k serveru, na kterém jste nainstalovali agenta Azure Log Analytics.
Zkopírujte zpa.conf do složky /etc/opt/microsoft/omsagent/workspace_id/conf/omsagent.d/.
Upravte soubor zpa.conf následujícím způsobem:
a. zadejte port, na který jste nastavili přijímače protokolů Zscaler tak, aby předávaly protokoly (řádek 4).
b. zpa.conf ve výchozím nastavení používá port 22033 . Ujistěte se, že tento port nepoužívá žádný jiný zdroj na vašem serveru.
c. Pokud chcete změnit výchozí port pro zpa.conf , ujistěte se, že by neměl být v konfliktu s výchozími porty agenta AMA, například CEF používá port TCP 25226 nebo 25224).
d. nahraďte workspace_id skutečnou hodnotou ID pracovního prostoru (řádky 14 15 16 19).
Uložte změny a restartujte agenta Azure Log Analytics pro službu Linux pomocí následujícího příkazu: sudo /opt/microsoft/omsagent/bin/service_control restart
Další kroky
Další informace najdete v souvisejícím řešení na Azure Marketplace.