Conector Elastic Agent (independiente) para Microsoft Sentinel
El conector de datos Elastic Agent proporciona la capacidad de ingerir registros, métricas y datos de seguridad de Elastic Agent en Microsoft Sentinel.
Atributos del conector
| Atributo del conector | Descripción |
|---|---|
| Tabla de Log Analytics | ElasticAgentLogs_CL |
| Compatibilidad con reglas de recopilación de datos | No se admite actualmente. |
| Compatible con | Microsoft Corporation |
Ejemplos de consultas
10 dispositivos principales
ElasticAgentEvent
| summarize count() by DvcIpAddr
| top 10 by count_
Requisitos previos
Para realizar la integración con Elastic Agent (independiente), asegúrese de que dispone de lo siguiente:
- Incluya requisitos previos personalizados si la conectividad lo requiere; de lo contrario, elimine requisitos personalizados: descripción de cualquier requisito previo personalizado
Instrucciones de instalación del proveedor
Nota
Este conector de datos depende de un analizador basado en una función de Kusto para que funcione según lo previsto en ElasticAgentEvent, que se implementa con la solución Microsoft Sentinel.
Nota
Este conector de datos se ha desarrollado mediante Elastic Agent 7.14.
- Instalación e incorporación del agente para Linux o Windows
Instale el agente en el servidor donde se reenvían los registros de Elastic Agent.
Los registros de Elastic Agent Server implementados en servidores Linux o Windows se recopilan mediante agentes de Linux o Windows.
- Configuración de Elastic Agent (independiente)
Siga las instrucciones para configurar Elastic Agent para generar resultados en Logstash
- Configuración de Logstash para usar el complemento de salida de Microsoft Logstash
Siga los pasos para configurar Logstash y usar el complemento microsoft-logstash-output-azure-loganalytics:
3.1) Compruebe si el complemento ya está instalado:
./logstash-plugin list | grep "azure-loganalytics" (si el complemento está instalado, vaya al paso 3.3)
3.2) Instale el complemento:
./logstash-plugin install microsoft-logstash-output-azure-loganalytics
3.3) Configure Logstash para usar el complemento
- Validación de la ingesta de registros
Siga las instrucciones para validar la conectividad:
Abra Log Analytics para comprobar si los registros se reciben mediante la tabla personalizada especificada en el paso 3.3 (por ejemplo, ElasticAgentLogs_CL).
La conexión tarda unos 30 minutos en empezar a transmitir datos al área de trabajo.
Pasos siguientes
Para obtener más información, vaya a la solución correspondiente en Azure Marketplace.