Zscaler Private Access-anslutningsprogram för Microsoft Sentinel

  • Artikel

Zscaler Private Access (ZPA)-dataanslutningen ger möjlighet att mata in Zscaler Private Access-händelser i Microsoft Sentinel. Mer information finns i Zscaler Private Access-dokumentationen.

Det här är automatiskt genererat innehåll. Om du vill ha ändringar kontaktar du lösningsleverantören.

Anslut ellerattribut

Anslut ellerattribut beskrivning
Kusto-funktionsalias ZPAEvent
Kusto-funktions-URL https://aka.ms/sentinel-ZscalerPrivateAccess-parser
Log Analytics-tabeller ZPA_CL
Stöd för regler för datainsamling Stöds för närvarande inte
Stöds av Microsoft Corporation

Exempel på frågor

Alla loggar


ZPAEvent

| sort by TimeGenerated

Installationsanvisningar för leverantör

Kommentar

Den här dataanslutningsappen är beroende av en parser som baseras på en Kusto-funktion för att fungera som förväntat. Följ de här stegen för att skapa Kusto Functions-aliaset ZPAEvent

Kommentar

Den här dataanslutningsappen har utvecklats med Zscaler Private Access-versionen: 21.67.1

  1. Installera och registrera agenten för Linux eller Windows

Installera agenten på servern där Zscaler Private Access-loggarna vidarebefordras.

Loggar från Zscaler Private Access Server som distribueras på Linux- eller Windows-servrar samlas in av Linux- eller Windows-agenter.

  1. Konfigurera loggarna som ska samlas in

Följ konfigurationsstegen nedan för att hämta Zscaler Private Access-loggar till Microsoft Sentinel. Mer information om de här stegen finns i Dokumentation om Azure Monitor . Zscaler Private Access-loggar levereras via Log Streaming Service (LSS). Mer information finns i LSS-dokumentationen

  1. Konfigurera loggmottagare. När du konfigurerar en loggmottagare väljer du JSON som loggmall.

  2. Ladda ned konfigurationsfilen zpa.conf wget -v https://aka.ms/sentinel-zscalerprivateaccess-conf -O zpa.conf

  3. Logga in på servern där du har installerat Azure Log Analytics-agenten.

  4. Kopiera zpa.conf till mappen /etc/opt/microsoft/omsagent/workspace_id/conf/omsagent.d/.

  5. Redigera zpa.conf på följande sätt:

    a. ange port som du har angett att Zscaler Log Receivers ska vidarebefordra loggar till (rad 4)

    b. zpa.conf använder port 22033 som standard. Kontrollera att den här porten inte används av någon annan källa på servern

    c. Om du vill ändra standardporten för zpa.conf kontrollerar du att den inte ska komma i konflikt med standardportarna för AMA-agenten, t.ex. CEF använder TCP-port 25226 eller 25224)

    d. ersätt workspace_id med det verkliga värdet för ditt arbetsyte-ID (raderna 14,15,16,19)

  6. Spara ändringar och starta om Azure Log Analytics-agenten för Linux-tjänsten med följande kommando: sudo /opt/microsoft/omsagent/bin/service_control starta om

Nästa steg

Mer information finns i den relaterade lösningen på Azure Marketplace.