通过 AMA 的 CEF 数据连接器 - 配置特定设备以进行 Microsoft Sentinel 数据引入

通过 Microsoft Sentinel 中的 AMA 数据连接器， 通用事件格式（CEF） 支持从许多安全设备和设备收集日志。 本文列出了提供商提供的使用此数据连接器的特定安全设备的安装说明。 请联系提供商以获取更新、详细信息，或信息不适用于你的安全设备的情况。

若要将数据引入 Microsoft Sentinel 的 Log Analytics 工作区，请完成 使用 Azure Monitor 代理将 syslog 和 CEF 消息引入到 Microsoft Sentinel 的步骤。 这些步骤包括通过 Microsoft Sentinel 中的 AMA 数据连接器安装 通用事件格式（CEF ）。 安装此连接器后，请使用适用于设备的说明（本文后面部分所示）完成设置。

For more information about the related Microsoft Sentinel solution for each of these appliances or devices, search the Azure Marketplace for the Product Type>Solution Templates or review the solution from the Content hub in Microsoft Sentinel.

AI 分析师 Darktrace

将 Darktrace 配置为通过 syslog 代理将 CEF 格式的 syslog 消息转发到 Azure 工作区。

1. Within the Darktrace Threat Visualizer, navigate to the System Config page in the main menu under Admin.
2. From the left-hand menu, select Modules and choose Microsoft Sentinel from the available Workflow Integrations.
3. Locate Microsoft Sentinel syslog CEF and select New to reveal the configuration settings, unless already exposed.
4. In the Server configuration field, enter the location of the log forwarder and optionally modify the communication port. 确保所选端口设置为 514，且任何中间防火墙都不阻止它。
5. 根据需要配置任何警报阈值、时间偏移量或其他设置。
6. 查看你可能希望启用以更改 syslog 语法的任何其他配置选项。
7. Enable Send Alerts and save your changes.

Akamai 安全事件

按照以下步骤配置 Akamai CEF 连接器，以 CEF 格式将 syslog 消息发送到代理计算机。 请确保将日志发送到计算机 IP 地址上的端口 514 TCP。

AristaAwakeSecurity

Complete the following steps to forward Awake Adversarial Model match results to a CEF collector listening on TCP port 514 at IP 192.168.0.1:

1. 导航到唤醒 UI 中的 “检测管理技能 ”页。
2. 选择 “+ 添加新技能”。
3. Set Expression to integrations.cef.tcp { destination: "192.168.0.1", port: 514, secure: false, severity: Warning }
4. Set Title to a descriptive name like, Forward Awake Adversarial Model match result to Microsoft Sentinel.
5. Set Reference Identifier to something easily discoverable like, integrations.cef.sentinel-forwarder.
6. Select Save.

在保存定义和其他字段的几分钟内，系统开始在检测到新模型匹配结果时将结果发送到 CEF 事件收集器。

有关详细信息，请参阅 Awake UI 中的帮助文档中的“添加安全信息和事件管理推送集成”页。

Aruba ClearPass

配置 Aruba ClearPass 以 CEF 格式将 syslog 消息转发到 Microsoft Sentinel 工作区，通过 syslog 代理。

1. 按照这些说明 配置阿鲁巴清除通道以转发 syslog。
2. Use the IP address or hostname for the Linux device with the Linux agent installed as the Destination IP address.

Barracuda WAF

Barracuda Web 应用程序防火墙可以通过 Azure 监视代理（AMA）直接与 Microsoft Sentinel 集成并导出日志。

1. 转到 Barracuda WAF 配置，并按照说明作，使用以下参数设置连接。

2. Web Firewall logs facility: Go to the advanced settings for your workspace and on the Data>Syslog tabs. 确保设施存在。

请注意，来自所有区域的数据都存储在所选工作区中。

Broadcom SymantecDLP

将 Symantec DLP 配置为通过 syslog 代理将 CEF 格式的 syslog 消息转发到 Microsoft Sentinel 工作区。

1. 按照以下说明 配置 Symantec DLP 以转发 syslog
2. Use the IP address or hostname for the Linux device with the Linux agent installed as the Destination IP address.

Cisco Firepower EStreamer

安装和配置 Firepower eNcore eStreamer 客户端。 For more information, see the full install guide.

CiscoSEG

完成以下步骤，将 Cisco Secure Email Gateway 配置为通过 syslog 转发日志：

1. Configure Log Subscription.
2. 在“日志类型”字段中选择 “合并事件日志 ”。

Citrix Web 应用防火墙

将 Citrix WAF 配置为将 CEF 格式的 syslog 消息发送到代理计算机。

• Find guides to configure WAF and CEF logs from Citrix Support.

• Follow this guide to forward the logs to proxy. 请确保将日志发送到 Linux 计算机 IP 地址的上的 TCP 端口 514。

Claroty

使用 CEF 配置日志转发。

1. Navigate to the Syslog section of the Configuration menu.
2. Select +Add.
3. 在 “添加新的 Syslog”对话框中 ，指定 远程服务器 IP、 端口、 协议。
4. Select Message Format - CEF.
5. Choose Save to exit the Add Syslog dialog.

Contrast Protect

配置 Contrast Protect 代理以将事件转发到 syslog，如此处所述：https://docs.contrastsecurity.com/en/output-to-syslog.html。 为应用程序生成一些攻击事件。

CrowdStrike Falcon

部署 CrowdStrike Falcon SIEM 收集器，以便通过 syslog 代理将 CEF 格式的 syslog 消息转发到 Microsoft Sentinel 工作区。

1. 按照以下说明 部署 SIEM 收集器和 转发 syslog。
2. 使用安装了 Linux 代理的 Linux 设备的 IP 地址或主机名作为目标 IP 地址。

CyberArk 企业密码保管库 （EPV） 事件

在 EPV 上，将dbparm.ini配置为将 CEF 格式的 syslog 消息发送到代理计算机。 确保将日志发送到计算机 IP 地址上的端口 514 TCP。

Delinea Secret Server

设置安全解决方案以将 CEF 格式的 syslog 消息发送到代理计算机。 请确保将日志发送到计算机 IP 地址上的端口 514 TCP。

ExtraHop Reveal(x)

设置安全解决方案以将 CEF 格式的 syslog 消息发送到代理计算机。 确保将日志发送到计算机 IP 地址上的端口 514 TCP。

1. 按照说明在 Reveal（x） 系统上安装 ExtraHop 检测 SIEM 连接器捆绑包 。 The SIEM Connector is required for this integration.
2. 启用 ExtraHop 检测 SIEM 连接器 - CEF 的触发器。
3. 使用创建的 ODS syslog 目标更新触发器。 

Reveal(x) 系统将 syslog 消息格式化为通用事件格式 (CEF)，然后将数据发送到 Microsoft Sentinel。

F5 Networks

配置 F5，以通过 syslog 代理将 CEF 格式的 syslog 消息转发到 Microsoft Sentinel 工作区。

转到 F5 配置应用程序安全事件日志记录，按照说明设置远程日志记录，并遵循以下准则：

1. 将“远程存储类型”设置为“CEF”。
2. Set the Protocol setting to UDP.
3. Set the IP address to the syslog server IP address.
4. Set the port number to 514, or the port your agent uses.
5. Set the facility to the one that you configured in the syslog agent. By default, the agent sets this value to local4.
6. 可以将“最大查询字符串大小”设置为与配置的相同。

FireEye 网络安全

完成以下步骤以使用 CEF 发送数据：

1. 使用管理员帐户登录到 FireEye 设备。

2. Select Settings.

3. Select Notifications. Select rsyslog.

4. Check the Event type check box.

5. 确保 Rsyslog 设置为：

   • Default format: CEF
   • Default delivery: Per event
   • Default send as: Alert

Forcepoint CASB

设置安全解决方案以将 CEF 格式的 syslog 消息发送到代理计算机。 请确保将日志发送到计算机 IP 地址上的端口 514 TCP。

Forcepoint CSG

通过两个实现选项提供集成：

1. 使用 Docker 映像，其中集成组件已安装了所有必需的依赖项。 Follow the instructions provided in the Integration Guide.
2. 需要在干净的 Linux 计算机中手动部署集成组件。 Follow the instructions provided in the Integration Guide.

Forcepoint NGFW

设置安全解决方案以将 CEF 格式的 syslog 消息发送到代理计算机。 请确保将日志发送到计算机 IP 地址上的端口 514 TCP。

适用于 CEF 的 ForgeRock Common Audit

在 ForgeRock 中，根据文档 https://github.com/javaservlets/SentinelAuditEventHandlerMicrosoft Sentinel 安装和配置此通用审核（CAUD）。 接下来，在 Azure 中，按照步骤通过 AMA 数据连接器配置 CEF。

Fortinet

设置 Fortinet 以将 CEF 格式的 Syslog 消息发送到代理计算机。 请确保将日志发送到计算机 IP 地址上的 514 TCP 端口。

复制以下 CLI 命令，然后：

• 将“服务器 <IP 地址>”替换为 Syslog 代理的 IP 地址。
  
• 将“<facility_name>”设置为使用在 Syslog 代理中配置的设施（默认情况下，代理将其设置为 local4）。
  
• 将 Syslog 端口设置为 514，即代理使用的端口。
  
• 若要在早期 FortiOS 版本中启用 CEF 格式，你可能需要运行命令“set csv disable”。
  有关详细信息，请转到 Fortinet 文档库，选择版本，并使用“手册”和“日志消息参考”PDF。
  

了解更多信息 >

使用 CLI 设置连接以运行以下命令： config log syslogd setting/n set status enable/nset format cef/nset port 514/nset server <ip_address_of_Receiver>/nend

iboss

将威胁控制台设置为将 CEF 格式的 syslog 消息发送到 Azure 工作区。 Make note of your Workspace ID and Primary Key within your Log Analytics workspace. 请从 Azure 门户中的“Log Analytics 工作区”菜单中选择该工作区。 Then select Agents management in the Settings section.

1. 导航到 iboss 控制台内的 Reporting & Analytics 。
2. Select Log Forwarding>Forward From Reporter.
3. Select Actions>Add Service.
4. Toggle to Microsoft Sentinel as a Service Type and input your Workspace ID/Primary Key along with other criteria. If a dedicated proxy Linux machine was configured, toggle to Syslog as a Service Type and configure the settings to point to your dedicated proxy Linux machine.
5. 等待一到两分钟才能完成设置。
6. 选择Microsoft Sentinel 服务，并验证Microsoft Sentinel 设置状态是否成功。 如果配置了专用代理 Linux 计算机，则可以验证连接。

Illumio Core

配置事件格式。

1. 在 PCE Web 控制台菜单中，选择“设置”>“事件设置”以查看当前设置。
2. Select Edit to change the settings.
3. Set Event Format to CEF.
4. (Optional) Configure Event Severity and Retention Period.

配置事件转发到外部 syslog 服务器。

1. From the PCE web console menu, choose Settings>Event Settings.
2. Select Add.
3. Select Add Repository.
4. Complete the Add Repository dialog.
5. Select OK to save the event forwarding configuration.

Illusive Platform

1. 设置安全解决方案以将 CEF 格式的 syslog 消息发送到代理计算机。 请确保将日志发送到计算机 IP 地址上的端口 514 TCP。

2. Sign into the Illusive Console, and navigate to Settings>Reporting.

3. Find Syslog Servers.

4. 提供以下信息：

   • 主机名： Linux Syslog 代理 IP 地址或 FQDN 主机名
   • Port: 514
   • Protocol: TCP
   • 审核消息： 将审核消息发送到服务器

5. To add the syslog server, select Add.

有关如何在 Illusive 平台中添加新的 syslog 服务器的详细信息，请参阅此处的 Illusive Networks 管理员指南： https://support.illusivenetworks.com/hc/en-us/sections/360002292119-Documentation-by-Version

Imperva WAF 网关

This connector requires an Action Interface and Action Set to be created on the Imperva SecureSphere MX. 按照步骤 创建要求。

1. Create a new Action Interface that contains the required parameters to send WAF alerts to Microsoft Sentinel.
2. Create a new Action Set that uses the Action Interface configured.
3. 将作集应用于想要将警报发送到 Microsoft Sentinel 的任何安全策略。

Infoblox 云数据连接器

完成以下步骤，将 Infoblox CDC 配置为通过 Linux syslog 代理将 BloxOne 数据发送到 Microsoft Sentinel。

1. Navigate to Manage>Data Connector.
2. Select the Destination Configuration tab at the top.
3. 选择“ 创建 > Syslog”。
   • Name: Give the new Destination a meaningful name, such as Microsoft-Sentinel-Destination.
   • Description: Optionally give it a meaningful description.
   • State: Set the state to Enabled.
   • Format: Set the format to CEF.
   • FQDN/IP: Enter the IP address of the Linux device on which the Linux agent is installed.
   • Port: Leave the port number at 514.
   • Protocol: Select desired protocol and CA certificate if applicable.
   • 选择“ 保存并关闭”。
4. 选择顶部的 “流量配置 ”选项卡。
5. Select Create.
   • Name: Give the new Traffic Flow a meaningful name, such as Microsoft-Sentinel-Flow.
   • Description: Optionally give it a meaningful description.
   • State: Set the state to Enabled.
   • Expand the Service Instance section.
     • Service Instance: Select your desired Service Instance for which the Data Connector service is enabled.
   • Expand the Source Configuration section.
     • Source: Select BloxOne Cloud Source.
     • Select all desired log types you wish to collect. 目前支持的日志类型为：
       • Threat Defense 查询/响应日志
       • Threat Defense 威胁源命中日志
       • DDI 查询/响应日志
       • DDI DHCP 租用日志
   • Expand the Destination Configuration section.
     • Select the Destination you created.
   • 选择“ 保存并关闭”。
6. 等待一段时间以激活配置。

Infoblox SOC 见解

完成以下步骤，将 Infoblox CDC 配置为通过 Linux syslog 代理将 BloxOne 数据发送到 Microsoft Sentinel。

1. 导航到“管理”>“数据连接器”。
2. Select the Destination Configuration tab at the top.
3. 选择“ 创建 > Syslog”。
   • Name: Give the new Destination a meaningful name, such as Microsoft-Sentinel-Destination.
   • Description: Optionally give it a meaningful description.
   • State: Set the state to Enabled.
   • Format: Set the format to CEF.
   • FQDN/IP: Enter the IP address of the Linux device on which the Linux agent is installed.
   • Port: Leave the port number at 514.
   • Protocol: Select desired protocol and CA certificate if applicable.
   • 选择“ 保存并关闭”。
4. 选择顶部的 “流量配置 ”选项卡。
5. Select Create.
   • Name: Give the new Traffic Flow a meaningful name, such as Microsoft-Sentinel-Flow.
   • Description: Optionally give it a meaningful description.
   • State: Set the state to Enabled.
   • Expand the Service Instance section.
     • Service Instance: Select your desired service instance for which the data connector service is enabled.
   • Expand the Source Configuration section.
     • Source: Select BloxOne Cloud Source.
     • Select the Internal Notifications Log Type.
   • Expand the Destination Configuration section.
     • Select the Destination you created.
   • 选择“ 保存并关闭”。
6. 等待一段时间以激活配置。

KasperskySecurityCenter

按照说明 从卡巴斯基安全中心配置事件导出。

Morphisec

设置安全解决方案以将 CEF 格式的 syslog 消息发送到代理计算机。 请确保将日志发送到计算机 IP 地址上的端口 514 TCP。

Netwrix Auditor

按照说明 从 Netwrix 审核员配置事件导出。

NozomiNetworks

完成以下步骤，将 Nozomi Networks 设备配置为以 CEF 格式通过 syslog 发送警报、审核和运行状况日志：

1. 登录到《卫报》控制台。
2. Navigate to Administration>Data Integration.
3. Select +Add.
4. 从下拉列表中选择 通用事件格式（CEF ）。
5. Create New Endpoint using the appropriate host information.
6. Enable Alerts, Audit Logs, and Health Logs for sending.

Onapsis Platform

请参阅 Onapsis 产品内帮助，以设置日志转发到 syslog 代理。

1. Go to Setup>Third-party integrations>Defend Alarms and follow the instructions for Microsoft Sentinel.

2. 确保 Onapsis 控制台可以访问安装了代理的代理计算机。 日志应使用 TCP 发送到端口 514。

OSSEC

按照以下步骤 配置 OSSEC 通过 syslog 发送警报。

Palo Alto - XDR （Cortex）

将 Palo Alto XDR （Cortex） 配置为通过 syslog 代理将 CEF 格式的消息转发到 Microsoft Sentinel 工作区。

1. 转到 Cortex 设置和配置。
2. Select to add New Server under External Applications.
3. Then specify the name and give the public IP of your syslog server in Destination.
4. Give Port number as 514.
5. From Facility field, select FAC_SYSLOG from dropdown.
6. Select Protocol as UDP.
7. Select Create.

PaloAlto-PAN-OS

将 Palo Alto Networks 配置为通过 syslog 代理将 syslog 消息以 CEF 格式转发到 Microsoft Sentine 工作区。

1. 转到 配置 Palo Alto Networks NGFW 以发送 CEF 事件。

2. 转到 Palo Alto CEF 配置和 Palo AltoConfigure Syslog Monitoring steps 2， 3， choose your version， and follow the instructions using the guidelines：

   1. 将“Syslog 服务器格式”设置为“BSD”。
   2. 将文本复制到编辑器，并移除可能中断日志格式的任何字符，然后再粘贴文本。 PDF 中的复制/粘贴操作可能会更改文本并插入随机字符。

Learn more

PaloAltoCDL

按照说明 配置从 Cortex Data Lake 转发到 syslog 服务器的日志。

PingFederate

按照以下步骤 配置 PingFederate，以 CEF 格式通过 syslog 发送审核日志。

RidgeSecurity

Configure the RidgeBot to forward events to syslog server as described here. 为应用程序生成一些攻击事件。

SonicWall Firewall

将 SonicWall 防火墙设置为将 CEF 格式的 syslog 消息发送到代理计算机。 请确保将日志发送到计算机 IP 地址上的 514 TCP 端口。

Follow instructions. 然后，请确保选择“本地使用 4”作为设施。 然后选择 ArcSight 作为 syslog 格式。

Trend Micro Apex One

按照以下步骤 配置 Apex Central，通过 syslog 发送警报。 While configuring, on step 6, select the log format CEF.

Trend Micro Deep Security

设置安全解决方案以将 CEF 格式的 syslog 消息发送到代理计算机。 确保将日志发送到计算机 IP 地址上的端口 514 TCP。

1. 将 Trend Micro Deep Security 事件转发到 syslog 代理。
2. 通过引用 此知识库文章 以获取其他信息，定义使用 CEF 格式的新 syslog 配置。
3. 将 Deep Security Manager 配置为使用此新配置使用这些 说明将事件转发到 syslog 代理。
4. Make sure to save the TrendMicroDeepSecurity function so that it queries the Trend Micro Deep Security data properly.

Trend Micro TippingPoint

将 TippingPoint SMS 设置为将 ArcSight CEF 格式 v4.2 格式的 syslog 消息发送到代理计算机。 请确保将日志发送到计算机 IP 地址上的端口 514 TCP。

vArmour 应用程序控制器

将 CEF 格式的 syslog 消息发送到代理计算机。 请确保将日志发送到计算机 IP 地址上的端口 514 TCP。

从 https://support.varmour.com/hc/en-us/articles/360057444831-vArmour-Application-Controller-6-0-User-Guide 下载用户指南。 在用户指南中，请参阅“为监视和违规配置 Syslog”，并遵循步骤 1 到 3。

Vectra AI 检测

将 Vectra （X 系列） 代理配置为通过 syslog 代理将 CEF 格式的 syslog 消息转发到 Microsoft Sentinel 工作区。

在 Vectra UI 中，导航到“设置通知” > 和“编辑 syslog 配置”。 请按照以下说明设置连接：

1. 添加新的目标（这是运行 Microsoft Sentinel syslog 代理的主机）。
2. Set the Port as 514.
3. Set the Protocol as UDP.
4. Set the format to CEF.
5. Set Log types. 选择所有可用的日志类型。
6. Select on Save.
7. Select the Test button to send some test events.

有关详细信息，请参阅“Cognito Detect Syslog 指南”（可从 Detect UI 中的资源页下载）。

Votiro

将 Votiro 终结点设置为将 CEF 格式的 syslog 消息发送到转发器计算机。 请确保将日志发送到转发器计算机的 IP 地址上的端口 514 TCP。

WireX 网络取证平台

请联系 WireX 支持人员（https://wirexsystems.com/contact-us/）将 NFP 解决方案配置为将 CEF 格式的 syslog 消息发送到代理计算机。 确保中心管理器可以将日志发送到计算机 IP 地址上的端口 514 TCP。

通过连接器使用 WithSecure 元素

将 WithSecure Elements 连接器设备连接到 Microsoft Sentinel。 借助 WithSecure Elements Connector 数据连接器，可以轻松将 WithSecure Elements 日志与 Microsoft Sentinel 连接，以查看仪表板、创建自定义警报和改进调查。

使用安全元素连接器配置，以便通过 syslog 代理将 CEF 格式的 syslog 消息转发到 Log Analytics 工作区。

1. 选择或创建 Linux 计算机，以便Microsoft Sentinel 用作 WithSecurity 解决方案与 Microsoft Sentinel 之间的代理。 计算机可以是本地环境、Microsoft Azure 或其他基于云的环境。 在 Linux 上需要安装 syslog-ng 和 python/python3。
2. 在 Linux 计算机上安装 Azure Monitoring Agent （AMA），并将计算机配置为侦听所需的端口并将消息转发到 Microsoft Sentinel 工作区。 CEF 收集器在 TCP 端口 514 上收集 CEF 消息。 你必须在计算机上拥有提升的权限 (sudo)。
3. Go to EPP in WithSecure Elements Portal. Then navigate to Downloads. In Elements Connector section, select Create subscription key. You can check your subscription key in Subscriptions.
4. In Downloads in WithSecure Elements Connector section, select the correct installer and download it.
5. 在 EPP 中时，从右上角打开帐户设置。 然后选择“ 获取管理 API 密钥”。 如果之前创建了密钥，也可以在此处读取该密钥。
6. 若要安装 Elements Connector，请遵循 Elements Connector Docs。
7. 如果在安装过程中未配置 API 访问，请按照 配置 Elements Connector 的 API 访问作。
8. Go to EPP, then Profiles, then use For Connector from where you can see the connector profiles. 创建新的配置文件（或编辑现有的非只读配置文件）。 In Event forwarding, enable it. Set SIEM system address: 127.0.0.1:514. 将格式设置为“通用事件格式”。 Protocol is TCP. Save profile and assign it to Elements Connector in Devices tab.
9. To use the relevant schema in Log Analytics for the WithSecure Elements Connector, search for CommonSecurityLog.
10. 继续 验证 CEF 连接。

Zscaler

将 Zscaler 产品设置为将 CEF 格式的 syslog 消息发送到 syslog 代理。 确保在端口 514 TCP 上发送日志。

有关详细信息，请参阅 Zscaler Microsoft Sentinel 集成指南。

Related content

• 使用 Azure Monitor 代理将 syslog 和 CEF 消息引入到 Microsoft Sentinel
• 通过 AMA 和通用事件格式 （CEF） 通过 AMA 连接器为 Microsoft Sentinel 的 Syslog