集成 GravityZone 本地 与Azure Sentinel
要建立Azure Sentinel与 GravityZone 之间的链接,请按以下步骤操作:
注意
部署Azure代理需要配置外部syslog服务器。
-
登录Microsoft Azure门户
-
在Microsoft Azure Sentinel中创建新的Log Analytics工作区以接收 GravityZone 警报。
-
进入 Log Analytics 工作区 .
-
选择您希望部署 Azure 代理的工作区,前往 代理管理 并选择 Linux 选项卡。
-
从 下载并载入 Linux 代理 字段复制链接,用于在您的 syslog 服务器上安装 Sentinel 代理。
-
返回 Microsoft Azure 门户,再次选择该工作区,并进入 代理配置 .
-
转到 syslog 选项卡,并为 用户 设施启用所有数据源。
-
配置 GravityZone 以通过 Syslog 协议将通知发送到 Azure Sentinel 实例。
-
连接到 GravityZone 控制中心 .
-
从左侧菜单进入 配置 页面,点击 其他 .
-
选择 启用系统日志 复选框。
-
输入系统日志服务器的IP地址、首选协议以及系统日志监听的端口。
-
选择 JSON 格式将数据发送至系统日志服务器。
-
点击 添加 按钮(位于 操作 列)。
-
-
选择您希望在Azure实例上接收的事件:
-
连接到 GravityZone 控制中心 .
-
点击菜单栏右侧的 通知 按钮,然后点击 设置 图标。
-
在 启用通知 部分,选择您希望从 GravityZone 接收的通知类型,并勾选 记录到服务器 复选框。
-
点击 保存 .
-