Microsoft Sentinel için Elastik Aracı (Tek Başına) bağlayıcısı

  • Makale

Elastik Aracı veri bağlayıcısı, Elastik Aracı günlüklerini, ölçümlerini ve güvenlik verilerini Microsoft Sentinel'e alma özelliği sağlar.

Bağlayıcı öznitelikleri

Bağlayıcı özniteliği Description
Log Analytics tabloları ElasticAgentLogs_CL
Veri toplama kuralları desteği Şu anda desteklenmiyor
Destekleyen Microsoft Corporation

Sorgu örnekleri

İlk 10 Cihaz

ElasticAgentEvent

| summarize count() by DvcIpAddr

| top 10 by count_

Önkoşullar

Elastik Aracı (Tek Başına) ile tümleştirmek için aşağıdakilere sahip olduğunuzdan emin olun:

  • Bağlantı gerektiriyorsa özel önkoşulları dahil et - yoksa gümrükleri sil: Herhangi bir özel önkoşul için açıklama

Satıcı yükleme yönergeleri

Not

Bu veri bağlayıcısı, Microsoft Sentinel Çözümü ile dağıtılan ElasticAgentEvent'in beklendiği gibi çalışması için Kusto İşlevini temel alan bir ayrıştırıcıya bağlıdır.

Not

Bu veri bağlayıcısı Elastic Agent 7.14 kullanılarak geliştirilmiştir.

  1. Linux veya Windows için aracıyı yükleme ve ekleme

Aracıyı Elastik Aracı günlüklerinin iletildiği Sunucuya yükleyin.

Linux veya Windows sunucularında dağıtılan Elastik Aracıların günlükleri Linux veya Windows aracıları tarafından toplanır.

  1. Elastik Aracıyı Yapılandırma (Tek Başına)

Logstash'e çıkış yapmak için Elastik Aracı'yı yapılandırmak için yönergeleri izleyin

  1. Logstash'i Microsoft Logstash Çıkış Eklentisi kullanacak şekilde yapılandırma

Logstash'i microsoft-logstash-output-azure-loganalytics eklentisini kullanacak şekilde yapılandırma adımlarını izleyin:

3.1) Eklentinin zaten yüklü olup olmadığını denetleyin:

./logstash-plugin list | grep 'azure-loganalytics' (eklenti yüklüyse 3.3. adıma gidin)

3.2) Eklentiyi yükleyin:

./logstash-plugin install microsoft-logstash-output-azure-loganalytics

3.3) Logstash'i eklentiyi kullanacak şekilde yapılandırma

  1. Günlük alımını doğrulama

Bağlantınızı doğrulamak için yönergeleri izleyin:

Günlüklerin 3.3. adımda belirtilen özel tablo (örneğin ElasticAgentLogs_CL) kullanılarak alınılıp alınmadığını denetlemek için Log Analytics'i açın.

Bağlantının çalışma alanınıza veri akışı gerçekleştirmesi yaklaşık 30 dakika sürebilir.

Sonraki adımlar

Daha fazla bilgi için Azure Market ilgili çözüme gidin.