Einen Collector hinzufügen

Prozedur

1. In Workflow and Automation → Third-Party Integration → Third-Party Log Collection oder Service Management → Data Source and Log Management → Third-party log repositories, erstellen Sie ein neues Protokoll-Repository oder wählen Sie ein bestehendes Protokoll-Repository aus.
2. Gehen Sie zur Registerkarte Collectors und klicken Sie auf Add Collector.
   Das Fenster Add Collector wird angezeigt.
3. Beginnen Sie mit der Eingabe des Namens des Drittanbieter-Datenquellenanbieters, den Sie verwenden möchten (Beispiel: Fortinet). Wenn der Anbieter nicht in der Liste ist, klicken Sie auf Erstellen, um den angegebenen Anbieternamen zu verwenden.
4. Beginnen Sie mit der Eingabe des Namens des Drittanbieter-Datenquellenprodukts, das Sie verwenden möchten (Beispiel: FortiGate). Wenn das Produkt nicht in der Liste enthalten ist, klicken Sie auf Erstellen, um das angegebene Produkt zu verwenden.

   Wichtig Die Erfassung von Protokolldaten aus Produkten mit verfügbaren Trend Vision One-Integrationen kann zusätzliche Konfigurationsschritte erfordern. Eine Liste der Produkte mit verfügbaren Trend Vision One-Integrationen finden Sie unter Third-Party Integrationen. Die Erfassung von Protokolldaten von Microsoft Defender für Endpunkt erfordert, dass Sie die Microsoft Defender für Endpunkt-Protokollerfassung in den Funktionen und Berechtigungen für Ihre Azure-Abonnements in Cloud-Konten aktivieren. Nachdem Sie das Terraform-Skript in Ihrem Azure-Abonnement bereitgestellt haben, wird der Sammler automatisch erstellt. Weitere Informationen finden Sie unter Aktivieren Sie die Protokollsammlung für Microsoft Defender für Endpunkt .

5. Wählen Sie das Format für die empfangenen Protokolle. Das empfohlene Protokollformat wird automatisch basierend auf dem ausgewählten Anbieter und Produkt angezeigt.
   • CEF verwendet einen standardisierten Parser, der alle Protokolle von jedem Produkt, das das CEF-Protokollformat verwendet, unterstützen kann und keine zusätzliche Zuordnung erfordert.
   • Syslog verwendet einen herstellerspezifischen Parser und wird nur empfohlen, wenn CEF nicht verfügbar ist, da zusätzliche Zuordnungsanforderungen möglich sind.

   Hinweis Für eine bessere Analyse und vollständigere XDR-Erkennung wählen Sie das empfohlene Protokollformat.

6. Für Produkte, die keine verfügbaren Trend Vision One-Integrationen haben, konfigurieren Sie die Sammlungseinstellungen und Datenquellen.
   1. Wählen Sie ein Service-Gateway aus, damit der Collector die Protokolldaten empfangen kann. Nur Service-Gateways mit installiertem Drittanbieter-Protokollsammlungsdienst erscheinen in der Liste.
   2. Wählen Sie ein Protokoll für den Datenverkehr aus. TLS und TCP werden unterstützt.

      Wichtig Wenn Sie Protokolldaten in der Drittanbieter-Protokollsammlung unter Verwendung des TLS-Protokolls empfangen möchten, müssen Sie ein gültiges Zertifikat Ihrer Organisation in das ausgewählte Service-Gateway hochladen. Anweisungen finden Sie unter Wie lade ich ein Zertifikat zu einem Service-Gateway hoch?

   3. Wählen Sie einen verfügbaren Port für den Empfang von Datenverkehr aus. Sobald er ausgewählt ist, sollten die Portnummern in Ihrer Drittanbieter-Datenquelle konfiguriert werden.
   4. Geben Sie die sendenden IP-Adressen der Drittanbieter-Datenquelle an, getrennt durch Kommas. Es werden nur IPv4-Adressen unterstützt. Stellen Sie sicher, dass Sie vertrauenswürdige IP-Adressen verwenden, die Sie von Ihrer Drittanbieter-Datenquelle kopiert haben.
7. Geben Sie die Zeitzone der Protokollquelle an, um die Ereigniszeitstempel korrekt auszurichten.
8. Klicken Sie auf Hinzufügen.
   Der Sammler wurde dem Protokoll-Repository hinzugefügt.
9. Bei Bedarf konfigurieren Sie Protokollfilter, um die Leistung und Datenqualität zu verbessern, indem verhindert wird, dass Protokolle mit bestimmten Schlüsselwörtern gesammelt werden.
   1. Nachdem Sie einen Collector hinzugefügt haben, klicken Sie auf Manage log filters in den Collector-Details.
   2. Klicken Sie auf Configure log filters, um mit dem Hinzufügen von Filtern zu beginnen.
   3. Geben Sie einen Namen für diesen Filter an.
   4. Fügen Sie bis zu 10 Schlüsselwörter oder Phrasen mit maximal 100 Zeichen hinzu, getrennt durch UND- oder ODER-Operatoren.
   5. Klicken Sie auf Add filter und geben Sie die Details ein, um bis zu 100 Filter hinzuzufügen.
   6. Klicken Sie auf Save.
      Der Sammler erfasst keine Protokolle mehr, die Schlüsselwörter enthalten, die mit einem konfigurierten Filter übereinstimmen.
   7. Bearbeiten oder entfernen Sie Filter, indem Sie Remove filters auswählen und anklicken oder auf das entsprechende Symbol klicken.

      Wichtig Nach dem Bearbeiten oder Entfernen eines Filters können Änderungen bis zu fünf Minuten dauern, bis sie wirksam werden.

10. Überwachen Sie den Verbindungsstatus des Sammlers.
    1. Klicken Sie auf den Namen des mit dem Collector verknüpften Protokollspeichers.
       Das Fenster Log Repository Details wird angezeigt.
    2. Navigieren Sie zur Registerkarte Collectors.
    3. Sehen Sie den Verbindungsstatus des Collectors in der Status-Spalte. Überprüfen Sie die zugehörige Service-Gateway-Verbindung, wenn der Collector-Status als Nicht infiziert angezeigt wird.

       Tipp Sie können auch Benachrichtigungen über ungewöhnliche Verbindungsstatus des Sammlers erhalten, indem Sie im Hauptbereich von Third-Party Log Collection auf Configure alert notifications klicken.

    4. Stellen Sie sicher, dass die gesammelten Protokolldaten verfügbar sind, indem Sie eine entsprechende Abfrage im XDR Data Explorer ausführen.