Syslog ile tümleştirmeIntegrate with Syslog

Not

Bu sayfada açıklanan Azure ATP özelliklerine de yeni Portalkullanılarak erişilebilir.The Azure ATP features explained on this page are also accessible using the new portal.

Azure ATP, şüpheli etkinlikler algıladığında size bildirimde bulunabilir ve uyarıları Syslog sunucunuza göndererek güvenlik uyarıları ve sistem durumu uyarıları verebilir.Azure ATP can notify you when it detects suspicious activities and issue security alerts and health alerts by sending the notifications to your Syslog server. Uyarılar, etkinliği doğrudan Syslog sunucusuna algılayan Azure ATP sensörden gönderilir.Alerts are sent from the Azure ATP sensor that detected the activity directly to the Syslog server.

Syslog bildirimlerini etkinleştirdikten sonra aşağıdakileri ayarlayabilirsiniz:Once you enable Syslog notifications, you can set the following:

AlanField DescriptionDescription
Algılayıcısensor Tüm Syslog olaylarını toplama ve bunları SıEM sunucunuza iletme işlemlerinden sorumlu olacak bir algılayıcı seçin.Select a designated sensor to be responsible for aggregating all the Syslog events and forwarding them to your SIEM server.
Hizmet uç noktasıService endpoint Syslog sunucunuzun FQDN’sini girin ve isteğe bağlı olarak bağlantı noktası numarasını (varsayılan 514) değiştirinFQDN of the Syslog server and optionally change the port number (default 514)
AktarmaTransport UDP, TCP veya TLS (güvenli syslog) olabilirCan be UDP, TCP, or TLS (Secured Syslog)
BiçimFormat Bu, Azure ATP 'nin SıEM sunucusuna olay göndermek için kullandığı biçimdir (RFC 5424 veya RFC 3164).This is the format that Azure ATP uses to send events to the SIEM server - either RFC 5424 or RFC 3164.
  1. Syslog bildirimlerini yapılandırmadan önce, SIEM yöneticinizle birlikte çalışarak aşağıdaki bilgileri bulun:Before configuring Syslog notifications, work with your SIEM admin to find out the following information:

    • SIEM sunucusunun FQDN değeri veya IP adresiFQDN or IP address of the SIEM server

    • SIEM sunucusunun dinlediği bağlantı noktasıPort on which the SIEM server is listening

    • Kullanılacak taşıma: UDP, TCP veya TLS (güvenli syslog)What transport to use: UDP, TCP, or TLS (Secured Syslog)

    • Veriler gönderilirken kullanılacak biçim, RFC 3164 veya 5424Format in which to send the data RFC 3164 or 5424

  2. Azure ATP portalını açın.Open the Azure ATP portal.

  3. Ayarlar’a tıklayın.Click Settings.

  4. Bildirimler ve raporlar alt menüsünde Bildirimler' i seçin.From the Notifications and Reports sub menu, select Notifications.

  5. Syslog hizmeti seçeneğinde, Yapılandır' a tıklayın.From the Syslog Service option, click Configure.

  6. Algılayıcıyıseçin.Select the Sensor.

  7. Hizmet uç noktası URL 'sini girin.Enter the Service endpoint URL.

  8. Aktarım protokolünü (TCP veya UDP) seçin.Select the Transport protocol (TCP or UDP).

  9. Biçimi seçin (RFC 3164 veya RFC 5424).Select the format (RFC 3164 or RFC 5424).

  10. Metin Syslog Iletisi gönder ' i seçin ve sonra iletiyi Syslog altyapısı çözümünüzde alındığını doğrulayın.Select Send text Syslog message and then verify the message is received in your Syslog infrastructure solution.

  11. Kaydet'e tıklayın.Click Save.

Syslog ayarlarınızı gözden geçirmek veya değiştirmek için.To review or modify your Syslog settings.

  1. Bildirimler' e tıklayın ve ardından, Syslog bildirimleri altında Yapılandır ' a tıklayın ve aşağıdaki bilgileri girin:Click Notifications, and then, under Syslog notifications click Configure and enter the following information:

    Azure ATP Syslog Sunucu ayarları resmi

  2. Syslog sunucunuza hangi olayların gönderileceğini seçebilirsiniz.You can select which events to send to your Syslog server. Syslog bildirimlerialtında, syslog sunucunuza hangi bildirimlerin gönderilmesi gerektiğini belirtin-yeni güvenlik uyarıları, güncelleştirilmiş güvenlik uyarıları ve yeni sistem durumu sorunları.Under Syslog notifications, specify which notifications should be sent to your Syslog server - new security alerts, updated security alerts, and new health issues.

Not

Otomasyon ya da Azure ATP SIEM günlükleri için betikleri oluşturmayı planlıyorsanız, kullanmanızı öneririz externalID bu amaç için uyarı adı yerine uyarı türünü tanımlamak için alan.If you plan to create automation or scripts for Azure ATP SIEM logs, we recommend using the externalId field to identify the alert type instead of using the alert name for this purpose. Uyarı adları bazen olabilir değiştirilmiş, while externalID her bir uyarı kalıcıdır.Alert names may occasionally be modified, while the externalId of each alert is permanent. Daha fazla bilgi için bkz. Azure ATP SıEM günlük başvurusu.For more information, see Azure ATP SIEM log reference.

Ayrıca bkz:See Also