Соединитель поставщика удостоверений Juniper для Microsoft Sentinel
Соединитель данных IdP Juniper предоставляет возможность приема событий поставщика удостоверений Juniper в Microsoft Sentinel.
Это автоматически сформированное содержимое. Для изменений обратитесь к поставщику решений.
атрибуты Подключение or
Атрибут соединителя | Description |
---|---|
Таблицы Log Analytics | JuniperIDP_CL |
Поддержка правил сбора данных | В настоящий момент не поддерживается |
Поддерживается | Корпорация Майкрософт |
Примеры запросов
Первые 10 клиентов (исходный IP-адрес)
JuniperIDP
| summarize count() by SrcIpAddr
| top 10 by count_
Инструкции по установке поставщика
Примечание.
Этот соединитель данных зависит от средства синтаксического анализа на основе функции Kusto, чтобы работать должным образом, как ожидалось , JuniperIDP , развернутой с помощью решения Microsoft Sentinel.
Примечание.
IdP OS 5.1 и более поздней версии поддерживается этим соединителем данных.
- Установка и подключение агента для Linux или Windows
Установите агент на сервере.
- Настройка журналов для сбора
Выполните приведенные ниже действия по настройке, чтобы получить журналы поставщика удостоверений Juniper в Microsoft Sentinel. Эта конфигурация дополняет события, созданные модулем поставщика удостоверений Juniper, чтобы обеспечить видимость сведений об источнике журнала для журналов поставщика удостоверений Juniper. Дополнительные сведения об этих шагах см. в документации по Azure Monitor.
Скачайте файл конфигурации juniper_idp.conf.
Войдите на сервер, на котором установлен агент Azure Log Analytics.
Скопируйте juniper_idp.conf в папку /etc/opt/microsoft/omsagent/workspace_id/conf/omsagent.d/.
Измените juniper_idp.conf следующим образом:
i. измените порт прослушивания для получения журналов на основе конфигурации (строка 3)
ii. замените workspace_id реальным значением идентификатора рабочей области (строки 58 59 60 63)
Сохраните изменения и перезапустите агент Azure Log Analytics для службы Linux с помощью следующей команды: sudo /opt/microsoft/omsagent/bin/service_control перезапуск
Чтобы настроить удаленное назначение системного журнала, обратитесь к началу работы с SRX — настройка системного ведения журнала.
Следующие шаги
Дополнительные сведения см. в связанном решении в Azure Marketplace.