[مهمل] Forcepoint CASB عبر موصل الوكيل القديم ل Microsoft Sentinel
هام
يتم الآن دعم جمع السجلات من العديد من الأجهزة والأجهزة من قبل تنسيق الأحداث العامة (CEF) عبر AMA أو Syslog عبر AMA أو السجلات المخصصة عبر موصل بيانات AMA في Microsoft Sentinel. لمزيد من المعلومات، راجع البحث عن موصل بيانات Microsoft Sentinel.
يسمح لك موصل Forcepoint CASB (Cloud Access Security Broker) بتصدير سجلات وأحداث CASB تلقائيا إلى Microsoft Sentinel في الوقت الفعلي. وهذا يثري الرؤية في أنشطة المستخدم عبر المواقع والتطبيقات السحابية، ويتيح المزيد من الارتباط بالبيانات من أحمال عمل Azure والموجزات الأخرى، ويحسن إمكانية المراقبة باستخدام المصنفات داخل Microsoft Sentinel.
سمات الموصل
| سمة الموصل | الوصف |
|---|---|
| جدول (جداول) Log Analytics | CommonSecurityLog (ForcepointCASB) |
| دعم قواعد جمع البيانات | تحويل DCR لمساحة العمل |
| مدعومة من قبل | Community |
عينات الاستعلام
أفضل 5 مستخدمين لديهم أكبر عدد من السجلات
CommonSecurityLog
| summarize Count = count() by DestinationUserName
| top 5 by DestinationUserName
| render barchart
**أفضل 5 مستخدمين حسب عدد المحاولات الفاشلة **
CommonSecurityLog
| extend outcome = coalesce(column_ifexists("EventOutcome", ""), tostring(split(split(AdditionalExtensions, ";", 2)[0], "=", 1)[0]), "")
| extend reason = coalesce(column_ifexists("Reason", ""), tostring(split(split(AdditionalExtensions, ";", 3)[0], "=", 1)[0]), "")
| where outcome =="Failure"
| summarize Count= count() by DestinationUserName
| render barchart
إرشادات تثبيت المورد
- تكوين عامل Linux Syslog
قم بتثبيت وتكوين عامل Linux لجمع رسائل Syslog بتنسيق الحدث العام (CEF) وإعادة توجيهها إلى Microsoft Sentinel.
لاحظ أنه سيتم تخزين البيانات من جميع المناطق في مساحة العمل المحددة
1.1 تحديد أو إنشاء جهاز Linux
حدد أو أنشئ جهاز Linux الذي سيستخدمه Microsoft Sentinel كوكيل بين حل الأمان الخاص بك وMicrosoft Sentinel. يمكن أن يكون هذا الجهاز على البيئة المحلية أو Azure أو السحب الأخرى.
1.2 تثبيت مجمع CEF على جهاز Linux
قم بتثبيت عامل مراقبة Microsoft على جهاز Linux الخاص بك وتكوين الجهاز للاستماع إلى المنفذ الضروري وإعادة توجيه الرسائل إلى مساحة عمل Microsoft Sentinel. يجمع مجمع CEF رسائل CEF على المنفذ 514 TCP.
- تأكد من أن لديك Python على جهازك باستخدام الأمر التالي: python -version.
- يجب أن يكون لديك أذونات عالية المستوى (sudo) على جهازك.
قم بتشغيل الأمر التالي لتثبيت جامع CEF وتطبيقه:
sudo wget -O cef_installer.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/CEF/cef_installer.py&&sudo python cef_installer.py {0} {1}
- إعادة توجيه سجلات تنسيق الحدث الشائع (CEF) إلى عامل Syslog
قم بتعيين حل الأمان لإرسال رسائل Syslog بتنسيق CEF إلى جهاز الوكيل. تأكد من إرسال السجلات إلى المنفذ 514 TCP على عنوان IP للجهاز.
- التحقق من صحة الاتصال
اتبع الإرشادات للتحقق من صحة الاتصال:
افتح Log Analytics للتحقق مما إذا كان يتم تلقي السجلات باستخدام مخطط CommonSecurityLog.
قد يستغرق الأمر حوالي 20 دقيقة حتى يقوم الاتصال ببث البيانات إلى مساحة العمل الخاصة بك.
إذا لم يتم تلقي السجلات، فقم بتشغيل البرنامج النصي التالي للتحقق من صحة الاتصال:
- تأكد من أن لديك Python على جهازك باستخدام الأمر التالي: python -version
- يجب أن يكون لديك أذونات مرتفعة (sudo) على جهازك
قم بتشغيل الأمر التالي للتحقق من صحة الاتصال:
sudo wget -O cef_troubleshoot.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/CEF/cef_troubleshoot.py&&sudo python cef_troubleshoot.py {0}
- تأمين جهازك
تأكد من تكوين أمان الجهاز وفقا لنهج أمان مؤسستك
- دليل تثبيت تكامل Forcepoint
لإكمال تثبيت تكامل منتج Forcepoint هذا، اتبع الدليل المرتبط أدناه.
الخطوات التالية
لمزيد من المعلومات، انتقل إلى الحل ذي الصلة في Azure Marketplace.