Łącznik agenta elastycznego (autonomicznego) dla usługi Microsoft Sentinel

  • Artykuł

Łącznik danych agenta elastycznego zapewnia możliwość pozyskiwania dzienników, metryk i danych zabezpieczeń agenta elastycznego do usługi Microsoft Sentinel.

Jest to automatycznie wygenerowana zawartość. W przypadku zmian skontaktuj się z dostawcą rozwiązania.

atrybuty Połączenie or

atrybut Połączenie or opis
Tabele usługi Log Analytics ElasticAgentLogs_CL
Obsługa reguł zbierania danych Obecnie nieobsługiwane
Obsługiwane przez Microsoft Corporation

Przykłady zapytań

10 pierwszych urządzeń

ElasticAgentEvent

| summarize count() by DvcIpAddr

| top 10 by count_

Wymagania wstępne

Aby zintegrować z agentem elastycznym (autonomicznym) upewnij się, że masz następujące elementy:

  • Uwzględnij niestandardowe wymagania wstępne, jeśli wymagana jest łączność — w przeciwnym razie usuń służby celne: Opis dowolnego niestandardowego wymagania wstępnego

Instrukcje instalacji dostawcy

Uwaga

Ten łącznik danych zależy od analizatora opartego na funkcji Kusto, która działa zgodnie z oczekiwaniami ElasticAgentEvent , która jest wdrażana przy użyciu rozwiązania Microsoft Sentinel.

Uwaga

Ten łącznik danych został opracowany przy użyciu programu Elastic Agent 7.14.

  1. Instalowanie i dołączanie agenta dla systemu Linux lub Windows

Zainstaluj agenta na serwerze, na którym są przekazywane dzienniki agenta elastycznego.

Dzienniki z agentów elastycznych wdrożonych na serwerach z systemem Linux lub Windows są zbierane przez agentów systemu Linux lub Windows .

  1. Konfigurowanie agenta elastycznego (autonomicznego)

Postępuj zgodnie z instrukcjami, aby skonfigurować agenta elastycznego do danych wyjściowych w usłudze Logstash

  1. Konfigurowanie usługi Logstash do korzystania z wtyczki wyjściowej usługi Logstash firmy Microsoft

Postępuj zgodnie z instrukcjami, aby skonfigurować usługę Logstash do korzystania z wtyczki microsoft-logstash-output-azure-loganalytics:

3.1) Sprawdź, czy wtyczka jest już zainstalowana:

Lista ./logstash-plugin | grep "azure-loganalytics" (jeśli wtyczka jest zainstalowana, przejdź do kroku 3.3)

3.2) Zainstaluj wtyczkę:

./logstash-plugin install microsoft-logstash-output-azure-loganalytics

3.3) Konfigurowanie usługi Logstash do korzystania z wtyczki

  1. Weryfikowanie pozyskiwania dzienników

Postępuj zgodnie z instrukcjami, aby zweryfikować łączność:

Otwórz usługę Log Analytics, aby sprawdzić, czy dzienniki są odbierane przy użyciu tabeli niestandardowej określonej w kroku 3.3 (np. ElasticAgentLogs_CL).

Przesyłanie strumieniowe danych połączenia do obszaru roboczego może potrwać około 30 minut.

Następne kroki

Aby uzyskać więcej informacji, przejdź do powiązanego rozwiązania w witrynie Azure Marketplace.