Konektor Zscaler Private Access pro Microsoft Sentinel

  • Článek

Datový konektor Zscaler Private Access (ZPA) poskytuje možnost ingestovat události privátního přístupu Zscaler do Služby Microsoft Sentinel. Další informace najdete v dokumentaci k privátnímu přístupu Zscaler.

Jedná se o automaticky vygenerovaný obsah. Pokud potřebujete změny, obraťte se na poskytovatele řešení.

atributy Připojení oru

atribut Připojení or Popis
Alias funkce Kusto ZPAEvent
Adresa URL funkce Kusto https://aka.ms/sentinel-ZscalerPrivateAccess-parser
Tabulky Log Analytics ZPA_CL
Podpora pravidel shromažďování dat V současnosti není podporováno
Podporováno Microsoft Corporation

Ukázky dotazů

Všechny protokoly


ZPAEvent

| sort by TimeGenerated

Pokyny k instalaci dodavatele

Poznámka:

Tento datový konektor závisí na analyzátoru založeném na funkci Kusto, která funguje podle očekávání. Pomocí těchto kroků vytvořte alias Funkce Kusto, ZPAEvent.

Poznámka:

Tento datový konektor byl vyvinut pomocí Zscaler Private Access verze: 21.67.1

  1. Instalace a onboarding agenta pro Linux nebo Windows

Nainstalujte agenta na server, kde se předávají protokoly privátního přístupu Zscaler.

Protokoly z Zscaler Private Access Serveru nasazeného na serverech s Linuxem nebo Windows shromažďují agenti Linuxu nebo Windows .

  1. Konfigurace protokolů, které se mají shromažďovat

Pokud chcete získat protokoly privátního přístupu Zscaler do Služby Microsoft Sentinel, postupujte podle následujících kroků konfigurace. Další podrobnosti o těchto krocích najdete v dokumentaci ke službě Azure Monitor. Protokoly privátního přístupu Zscaler se doručují prostřednictvím služby streamování protokolů (LSS). Podrobné informace najdete v dokumentaci k LSS.

  1. Nakonfigurujte příjemce protokolů. Při konfiguraci příjemce protokolu zvolte jako šablonu protokolu JSON.

  2. Stažení konfiguračního souboru zpa.conf wget -v https://aka.ms/sentinel-zscalerprivateaccess-conf -O zpa.conf

  3. Přihlaste se k serveru, na kterém jste nainstalovali agenta Azure Log Analytics.

  4. Zkopírujte zpa.conf do složky /etc/opt/microsoft/omsagent/workspace_id/conf/omsagent.d/.

  5. Upravte soubor zpa.conf následujícím způsobem:

    a. zadejte port, na který jste nastavili přijímače protokolů Zscaler tak, aby předávaly protokoly (řádek 4).

    b. zpa.conf ve výchozím nastavení používá port 22033 . Ujistěte se, že tento port nepoužívá žádný jiný zdroj na vašem serveru.

    c. Pokud chcete změnit výchozí port pro zpa.conf , ujistěte se, že by neměl být v konfliktu s výchozími porty agenta AMA, například CEF používá port TCP 25226 nebo 25224).

    d. nahraďte workspace_id skutečnou hodnotou ID pracovního prostoru (řádky 14 15 16 19).

  6. Uložte změny a restartujte agenta Azure Log Analytics pro službu Linux pomocí následujícího příkazu: sudo /opt/microsoft/omsagent/bin/service_control restart

Další kroky

Další informace najdete v souvisejícím řešení na Azure Marketplace.