Conector do Elastic Agent (autônomo) para o Microsoft Sentinel
O conector de dados do Elastic Agent oferece a funcionalidade de ingerir logs, métricas e dados de segurança do Elastic Agent no Microsoft Sentinel.
Atributos do conector
| Atributo do conector | Description |
|---|---|
| Tabela(s) do Log Analytics | ElasticAgentLogs_CL |
| Suporte às regras de coleta de dados | Sem suporte no momento |
| Com suporte por | Microsoft Corporation |
Exemplos de consulta
Dez principais dispositivos
ElasticAgentEvent
| summarize count() by DvcIpAddr
| top 10 by count_
Pré-requisitos
Para fazer a integração com o Elastic Agent (Autônomo), verifique se você tem:
- Inclua pré-requisitos personalizados se a conectividade exigir, caso contrário, exclua as personalizações: descrição de qualquer pré-requisito personalizado
Instruções de instalação do fornecedor
Observação
Esse conector de dados depende de um analisador baseado em uma função Kusto para funcionar como esperado, ElasticAgentEvent, que é implantada com a solução Microsoft Sentinel.
Observação
Esse conector de dados foi desenvolvido usando o Elastic Agent 7.14.
- Instalar e integrar o agente para Linux ou Windows
Instale o agente no servidor para o qual os logs do Elastic Agent serão encaminhados.
Os logs do Elastic Agents implantados em servidores Linux ou Windows são coletados por agentes do Linux ou do Windows.
- Configurar o Elastic Agent (autônomo)
Siga as instruções para configurar o Elastic Agent para enviar a saída ao Logstash
- Configurar o Logstash para usar o plug-in de saída do Logstash da Microsoft
Siga as etapas para configurar o Logstash para usar o plug-in microsoft-logstash-output-azure-loganalytics:
3.1) Verifique se o plug-in já está instalado:
./logstash-plugin list | grep 'azure-loganalytics' (if the plugin is installed go to step 3.3)
3.2) Instalar o plug-in:
./logstash-plugin install microsoft-logstash-output-azure-loganalytics
3.3) Configurar o Logstash para usar o plug-in
- Validar a ingestão de log
Siga as instruções para validar a conectividade:
Abra o Log Analytics para verificar se os logs são recebidos usando a tabela personalizada especificada na etapa 3.3 (por exemplo, ElasticAgentLogs_CL).
Pode demorar cerca de 30 minutos até que a conexão transmita dados para o workspace.
Próximas etapas
Para obter mais informações, acesse a solução relacionada no Azure Marketplace.