[مهمل] Forcepoint CSG عبر موصل عامل قديم ل Microsoft Sentinel
Forcepoint Cloud Security Gateway هي خدمة أمان سحابية متقاربة توفر الرؤية والتحكم والحماية من التهديدات للمستخدمين والبيانات، أينما كانوا. لمزيد من المعلومات، تفضل بزيارة: https://www.forcepoint.com/product/cloud-security-gateway
سمات الاتصال أو
| سمة الموصل | الوصف |
|---|---|
| جدول (جداول) Log Analytics | CommonSecurityLog (Forcepoint CSG) CommonSecurityLog (Forcepoint CSG) |
| دعم قواعد جمع البيانات | تحويل DCR لمساحة العمل |
| مدعومة من قبل | Community |
عينات الاستعلام
أفضل 5 مجالات مطلوبة على الويب مع خطورة السجل تساوي 6 (متوسطة)
CommonSecurityLog
| where TimeGenerated <= ago(0m)
| where DeviceVendor == "Forcepoint CSG"
| where DeviceProduct == "Web"
| where LogSeverity == 6
| where DeviceCustomString2 != ""
| summarize Count=count() by DeviceCustomString2
| top 5 by Count
| render piechart
أفضل 5 مستخدمي ويب لديهم "إجراء" يساوي "محظور"
CommonSecurityLog
| where TimeGenerated <= ago(0m)
| where DeviceVendor == "Forcepoint CSG"
| where DeviceProduct == "Web"
| where Activity == "Blocked"
| where SourceUserID != "Not available"
| summarize Count=count() by SourceUserID
| top 5 by Count
| render piechart
أفضل 5 عناوين بريد إلكتروني للمرسلين حيث نقاط البريد العشوائي أكبر من 10.0
CommonSecurityLog
| where TimeGenerated <= ago(0m)
| where DeviceVendor == "Forcepoint CSG"
| where DeviceProduct == "Email"
| where DeviceCustomFloatingPoint1 > 10.0
| summarize Count=count() by SourceUserName
| top 5 by Count
| render barchart
إرشادات تثبيت المورد
- تكوين عامل Linux Syslog
يتطلب هذا التكامل من وكيل Linux Syslog جمع سجلات الويب/البريد الإلكتروني لبوابة أمان سحابة Forcepoint على المنفذ 514 TCP بتنسيق الحدث المشترك (CEF) وإعادة توجيهها إلى Microsoft Sentinel.
أمر تثبيت عامل Data الاتصال or Syslog هو:
sudo wget -O cef_installer.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/CEF/cef_installer.py&&sudo python cef_installer.py {0} {1}
- خيارات التنفيذ
يتم توفير التكامل مع خيارين للتنفيذ.
2.1 تنفيذ Docker
يستفيد من صور docker حيث تم تثبيت مكون التكامل بالفعل مع جميع التبعيات الضرورية.
اتبع الإرشادات الواردة في دليل التكامل المرتبط أدناه.
2.2 التنفيذ التقليدي
يتطلب النشر اليدوي لمكون التكامل داخل جهاز Linux نظيف.
اتبع الإرشادات الواردة في دليل التكامل المرتبط أدناه.
- التحقق من صحة الاتصال
اتبع الإرشادات للتحقق من صحة الاتصال:
افتح Log Analytics للتحقق مما إذا كان يتم تلقي السجلات باستخدام مخطط CommonSecurityLog.
قد يستغرق الأمر حوالي 20 دقيقة حتى يقوم الاتصال ببث البيانات إلى مساحة العمل الخاصة بك.
إذا لم يتم تلقي السجلات، فقم بتشغيل البرنامج النصي التالي للتحقق من صحة الاتصال:
- تأكد من أن لديك Python على جهازك باستخدام الأمر التالي: python -version
- يجب أن يكون لديك أذونات مرتفعة (sudo) على جهازك
قم بتشغيل الأمر التالي للتحقق من صحة الاتصال:
sudo wget -O cef_troubleshoot.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/CEF/cef_troubleshoot.py&&sudo python cef_troubleshoot.py {0}
- تأمين جهازك
تأكد من تكوين أمان الجهاز وفقا لنهج أمان مؤسستك
الخطوات التالية
لمزيد من المعلومات، انتقل إلى الحل ذي الصلة في Azure Marketplace.