你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
适用于 Microsoft Sentinel 的 Zscaler Private Access 连接器
Zscaler Private Access (ZPA) 数据连接器提供将 Zscaler Private Access 事件引入 Microsoft Sentinel 的功能。 有关详细信息,请参阅 Zscaler Private Access 文档。
连接器属性
| 连接器属性 | 说明 |
|---|---|
| Kusto 函数别名 | ZPAEvent |
| Kusto 函数 URL | https://aka.ms/sentinel-ZscalerPrivateAccess-parser |
| Log Analytics 表 | ZPA_CL |
| 数据收集规则支持 | 目前不支持 |
| 支持的服务 | Microsoft Corporation |
查询示例
所有日志
ZPAEvent
| sort by TimeGenerated
供应商安装说明
注意
此数据连接器依赖于基于 Kusto 函数的分析程序来按预期方式工作。 按照这些步骤创建 Kusto Functions 别名“ZPAEvent”
注意
此数据连接器是使用 Zscaler Private Access 版本 21.67.1 开发的
- 安装并加入适用于 Linux 或 Windows 的代理
在转发 Zscaler Private Access 日志的服务器上安装此代理。
Linux 或 Windows 代理收集 Linux 或 Windows 服务器上部署的 Zscaler Private Access Server 中的日志。
- 配置要收集的日志
按照下面的配置步骤,将 Zscaler Private Access 日志提取到 Microsoft Sentinel 中。 有关这些步骤的更多详细信息,请参阅 Azure Monitor 文档。 Zscaler Private Access 日志通过日志流式处理服务 (LSS) 进行传输。 有关详细信息,请参阅 LSS 文档
配置日志接收器。 配置日志接收器时,选择 JSON 作为日志模板 。
下载配置文件 zpa.conf wget -v https://aka.ms/sentinel-zscalerprivateaccess-conf -O zpa.conf
登录到安装了 Azure Log Analytics 代理的服务器。
将 zpa.conf 复制到 /etc/opt/microsoft/omsagent/workspace_id/conf/omsagent.d/ 文件夹。
编辑 zpa.conf,如下所示:
a. 指定已设置 Zscaler 日志接收器来将日志转发到的端口(第 4 行)
b. 默认情况下,zpa.conf 使用端口 22033。 确保服务器上的任何其他源都未使用此端口
c. 如果要更改 zpa.conf 的默认端口,请确保它不会与默认 AMA 代理端口发生冲突(例如,CEF 使用 TCP 端口 25226 或 25224)
d. 将 workspace_id 替换为工作区 ID 的实际值(第 14、15、16、19 行)
保存更改并使用以下命令重启适用于 Linux 的 Azure Log Analytics 代理服务:sudo /opt/microsoft/omsagent/bin/service_control restart
后续步骤
有关详细信息,请转到 Azure 市场中的相关解决方案。