Microsoft Sentinel için Zscaler Özel Erişim bağlayıcısı

  • Makale

Zscaler Özel Erişim (ZPA) veri bağlayıcısı, Zscaler Özel Erişim olaylarını Microsoft Sentinel'e alma özelliği sağlar. Daha fazla bilgi için Zscaler Özel Erişim belgelerine bakın.

Bağlayıcı öznitelikleri

Bağlayıcı özniteliği Açıklama
Kusto işlevi diğer adı ZPAEvent
Kusto işlev url'si https://aka.ms/sentinel-ZscalerPrivateAccess-parser
Log Analytics tabloları ZPA_CL
Veri toplama kuralları desteği Şu anda desteklenmiyor
Destekleyen Microsoft Corporation

Sorgu örnekleri

Tüm günlükler


ZPAEvent

| sort by TimeGenerated

Satıcı yükleme yönergeleri

Not

Bu veri bağlayıcısı, kusto işlevini temel alan ayrıştırıcının beklendiği gibi çalışmasına bağlıdır. Kusto İşlevleri diğer adı olan ZPAEvent'i oluşturmak için bu adımları izleyin

Not

Bu veri bağlayıcısı, Zscaler Özel Erişim sürümü kullanılarak geliştirilmiştir: 21.67.1

  1. Linux veya Windows için aracıyı yükleme ve ekleme

Aracıyı, Zscaler Özel Erişim günlüklerinin iletildiği Sunucuya yükleyin.

Linux veya Windows sunucularında dağıtılan Zscaler Özel Erişim Sunucusu günlükleri Linux veya Windows aracıları tarafından toplanır.

  1. Toplanacak günlükleri yapılandırma

Zscaler Özel Erişim günlüklerini Microsoft Sentinel'e almak için aşağıdaki yapılandırma adımlarını izleyin. Bu adımlarla ilgili daha fazla ayrıntı için Azure İzleyici Belgeleri'ne bakın. Zscaler Özel Erişim günlükleri Günlük Akış Hizmeti (LSS) aracılığıyla teslim edilir. Ayrıntılı bilgi için LSS belgelerine bakın

  1. Günlük Alıcılarını yapılandırın. Günlük Alıcısını yapılandırırken Günlük Şablonu olarak JSON'u seçin.

  2. zpa.conf wget -v https://aka.ms/sentinel-zscalerprivateaccess-conf -O zpa.conf yapılandırma dosyasını indirin

  3. Azure Log Analytics aracısını yüklediğiniz sunucuda oturum açın.

  4. zpa.conf dosyasını /etc/opt/microsoft/omsagent/workspace_id/conf/omsagent.d/ klasörüne kopyalayın.

  5. zpa.conf dosyasını aşağıdaki gibi düzenleyin:

    a. Zscaler Günlük Alıcılarınızı günlükleri iletecek şekilde ayarladığınız bağlantı noktasını belirtin (4. satır)

    b. zpa.conf varsayılan olarak 22033 numaralı bağlantı noktasını kullanır. Bu bağlantı noktasının sunucunuzdaki başka bir kaynak tarafından kullanılmadığından emin olun

    c. zpa.conf için varsayılan bağlantı noktasını değiştirmek istiyorsanız, varsayılan AMA aracısı bağlantı noktalarıyla çakışmamadığından emin olun( Örneğin CEF 25226 veya 25224 NUMARALı TCP bağlantı noktasını kullanır)

    d. workspace_id Çalışma Alanı Kimliğinizin gerçek değeriyle değiştirin (satır 14.15.16.19)

  6. Aşağıdaki komutla değişiklikleri kaydedin ve Linux hizmeti için Azure Log Analytics aracısını yeniden başlatın: sudo /opt/microsoft/omsagent/bin/service_control yeniden başlatma

Sonraki adımlar

Daha fazla bilgi için Azure Market ilgili çözüme gidin.