Conector Zscaler Private Access para Microsoft Sentinel
El conector de datos Zscaler Private Access (ZPA) proporciona la capacidad de ingerir eventos de Zscaler Private Access en Microsoft Sentinel. Consulte la documentación de Zscaler Private Access para más información.
Este contenido se genera automáticamente. En relación con los cambios, póngase en contacto con el proveedor de soluciones.
Atributos del conector
| Atributo del conector | Descripción |
|---|---|
| Alias de función de Kusto | ZPAEvent |
| URL de función de Kusto | https://aka.ms/sentinel-ZscalerPrivateAccess-parser |
| Tabla de Log Analytics | ZPA_CL |
| Compatibilidad con reglas de recopilación de datos | No se admite actualmente. |
| Compatible con | Microsoft Corporation |
Ejemplos de consultas
Todos los registros
ZPAEvent
| sort by TimeGenerated
Instrucciones de instalación del proveedor
Nota
Este conector de datos depende de un analizador basado en una función de Kusto para funcionar según lo previsto. Siga estos pasos para crear el alias de Functions de Kusto, ZPAEvent.
Nota
Este conector de datos se ha desarrollado con Zscaler Private Access versión 21.67.1
- Instalación e incorporación del agente para Linux o Windows
Instale el agente en el servidor donde se reenvían los registros de Zscaler Private Access.
Los registros del servidor de Zscaler Private Access implementados en servidores Linux o Windows se recopilan mediante agentes de Linux o Windows.
- Configure los registros que se van a recopilar.
Use los pasos de configuración siguientes para obtener los registros de Zscaler Private Access en Microsoft Sentinel. Para obtener más detalles sobre estos pasos, consulte la documentación de Azure Monitor. Los registros de Zscaler Private Access se entregan por medio de Log Streaming Service (LSS). Consulte la documentación de LSS para información detallada.
Configure receptores de registro. Al configurar un receptor de registro, elija JSON como Log Template (Plantilla de registro).
Descargue el archivo de configuración zpa.conf wget -v https://aka.ms/sentinel-zscalerprivateaccess-conf -O zpa.conf.
Inicie sesión en el servidor donde ha instalado el agente de Azure Log Analytics.
Copie zpa.conf en la carpeta /etc/opt/microsoft/omsagent/workspace_id/conf/omsagent.d/.
Edite zpa.conf como se muestra a continuación:
a. Especifique el puerto que ha establecido para que los receptores de registro de Zscaler reenvíen los registros (línea 4).
b. zpa.conf usa el puerto 22033 de manera predeterminada. Asegúrese de que ningún otro origen del servidor esté usando este puerto.
c. Si desea cambiar el puerto predeterminado para zpa.conf, asegúrese de que no entre en conflicto con los puertos predeterminados del agente de Azure Monitor (por ejemplo, CEF usa el puerto TCP 25226 o 25224).
d. Reemplace workspace_id por el valor real del identificador del área de trabajo (líneas 14, 15, 16 y 19)
Guarde los cambios y reinicie el servicio del agente de Azure Log Analytics para Linux con el siguiente comando: sudo /opt/microsoft/omsagent/bin/service_control restart
Pasos siguientes
Para obtener más información, vaya a la solución relacionada en Azure Marketplace.