適用於 Microsoft Sentinel 的 Zscaler Private Access 連接器
Zscaler Private Access (ZPA) 數據連接器提供將 Zscaler Private Access 事件內嵌至 Microsoft Sentinel 的功能。 如需詳細資訊, 請參閱 Zscaler Private Access 檔 。
這是自動產生的內容。 如需變更,請連絡解決方案提供者。
連線 or 屬性
連線 or 屬性 | 描述 |
---|---|
Kusto 函式別名 | ZPAEvent |
Kusto 函式 URL | https://aka.ms/sentinel-ZscalerPrivateAccess-parser |
Log Analytics 數據表(s) | ZPA_CL |
數據收集規則支援 | 目前不支援 |
支援者: | Microsoft Corporation |
查詢範例
所有記錄
ZPAEvent
| sort by TimeGenerated
廠商安裝指示
注意
此數據連接器取決於以 Kusto 函式為基礎的剖析器,才能如預期般運作。 請遵循下列步驟 來建立 Kusto Functions 別名 ZPAEvent
注意
此數據連接器已使用 Zscaler Private Access 版本開發:21.67.1
- 安裝並上線Linux或 Windows 的代理程式
在轉送 Zscaler Private Access 記錄的伺服器上安裝代理程式。
Linux 或 Windows 代理程式會收集部署在 Linux 或 Windows 伺服器上之 Zscaler Private Access Server 的記錄。
- 設定要收集的記錄
請遵循下列設定步驟,取得 Zscaler Private Access 記錄到 Microsoft Sentinel。 如需這些步驟的詳細資訊, 請參閱 Azure 監視器檔 。 Zscaler Private Access 記錄會透過記錄串流服務 (LSS) 傳遞。 如需詳細資訊,請參閱 LSS 檔
設定 記錄接收者。 設定記錄接收器時,選擇 [JSON] 作為 [記錄範本]。
下載配置檔 zpa.conf wget -v https://aka.ms/sentinel-zscalerprivateaccess-conf -O zpa.conf
登入已安裝 Azure Log Analytics 代理程式的伺服器。
將 zpa.conf 複製到 /etc/opt/microsoft/omsagent/workspace_id/conf/omsagent.d/ 資料夾。
編輯 zpa.conf,如下所示:
a. 指定您已將 Zscaler 記錄接收者設定為轉送記錄的連接埠 (第 4 行)
b. zpa.conf 預設會使用埠 22033 。 請確定伺服器上任何其他來源未使用此埠
c. 如果您想要變更 zpa.conf 的預設埠,請確定它不應該與預設 AMA 代理程式埠發生衝突,例如 CEF 使用 TCP 連接埠 25226 或 25224)
d. 以工作區標識符的實際值取代 workspace_id (第 14,15,16,19 行)
使用下列命令儲存變更並重新啟動適用於Linux的 Azure Log Analytics 代理程式服務:sudo /opt/microsoft/omsagent/bin/service_control重新啟動
下一步
如需詳細資訊,請移至 Azure Marketplace 中的相關解決方案 。