Conector do Zscaler Private Access para Microsoft Sentinel
O conector de dados Zscaler Private Access (ZPA) fornece a capacidade de ingestão de eventos do Zscaler Private Access no Microsoft Sentinel. Para obter mais informações, confira a documentação do Zscaler Private Access.
Atributos do conector
| Atributo do conector | Description |
|---|---|
| Alias de função do Kusto | ZPAEvent |
| URL da função do Kusto | https://aka.ms/sentinel-ZscalerPrivateAccess-parser |
| Tabela(s) do Log Analytics | ZPA_CL |
| Suporte às regras de coleta de dados | Sem suporte no momento |
| Com suporte por | Microsoft Corporation |
Exemplos de consulta
Todos os logs
ZPAEvent
| sort by TimeGenerated
Instruções de instalação do fornecedor
Observação
Esse conector de dados depende de um analisador baseado em uma função Kusto para funcionar conforme o esperado. Siga estas etapas para criar o alias da função Kusto, ZPAEvent
Observação
Esse conector de dados foi desenvolvido usando a versão do Zscaler Private Access: 21.67.1
- Instalar e integrar o agente para Linux ou Windows
Instale o agente no servidor em que os logs do Zscaler Private Access são encaminhados.
Os logs do Servidor Zscaler Private Access implantados em servidores Linux ou Windows são coletados por agentes do Linux ou Windows.
- Configurar os logs a serem coletados
Siga as etapas de configuração abaixo para obter logs do Zscaler Private Access no Microsoft Sentinel. Confira a Documentação do Azure Monitor para encontrar mais detalhes sobre essas etapas. Os logs do Zscaler Private Access são fornecidos por meio do LSS (Serviço de streaming de log). Confira a documentação do LSS para obter informações detalhadas
Configurar Recebedores de log. Enquanto o Recebedor de log é recebido, escolha JSON como Modelo de log.
Baixar o arquivo de configuração zpa.conf wget -v https://aka.ms/sentinel-zscalerprivateaccess-conf -O zpa.conf
Entre no servidor em que você instalou o agente do Log Analytics do Azure.
Copie zpa.conf na pasta /etc/opt/microsoft/omsagent/workspace_id/conf/omsagent.d/.
Edite o zpa.conf da seguinte maneira:
a. especifique a porta para a qual você definiu que os Recebedores de log do Zscaler devem encaminhar os logs (linha 4)
b. zpa.conf usa a porta 22033 como padrão. Verifique se essa porta não está sendo usada por nenhuma outra fonte em seu servidor
c. Se você quiser alterar a porta padrão para zpa.conf, verifique se ela não deve entrar em conflito com as portas padrão do agente AMA, ou seja, (por exemplo, o CEF usa a porta TCP 25226 ou 25224)
d. substitua workspace_id pelo valor real da sua ID do espaço de trabalho (linhas 14,15,16,19)
Salve as alterações e reinicie o agente do Azure Log Analytics para o serviço Linux com o seguinte comando: sudo /opt/microsoft/omsagent/bin/service_control restart
Próximas etapas
Para obter mais informações, acesse a solução relacionada no Azure Marketplace.