[مستحسن] Forcepoint CASB عبر موصل AMA ل Microsoft Sentinel
يسمح لك Forcepoint CASB (Cloud Access Security Broker) الاتصال or بتصدير سجلات وأحداث CASB تلقائيا إلى Microsoft Sentinel في الوقت الفعلي. وهذا يثري الرؤية في أنشطة المستخدم عبر المواقع والتطبيقات السحابية، ويتيح المزيد من الارتباط بالبيانات من أحمال عمل Azure والموجزات الأخرى، ويحسن إمكانية المراقبة باستخدام المصنفات داخل Microsoft Sentinel.
سمات الاتصال أو
سمة الموصل | الوصف |
---|---|
جدول (جداول) Log Analytics | CommonSecurityLog (ForcepointCASB) |
دعم قواعد جمع البيانات | Azure Monitor Agent DCR |
مدعومة من قبل | Community |
عينات الاستعلام
أفضل 5 مستخدمين لديهم أكبر عدد من السجلات
CommonSecurityLog
| summarize Count = count() by DestinationUserName
| top 5 by DestinationUserName
| render barchart
**أفضل 5 مستخدمين حسب عدد المحاولات الفاشلة **
CommonSecurityLog
| extend outcome = coalesce(column_ifexists("EventOutcome", ""), tostring(split(split(AdditionalExtensions, ";", 2)[0], "=", 1)[0]), "")
| extend reason = coalesce(column_ifexists("Reason", ""), tostring(split(split(AdditionalExtensions, ";", 3)[0], "=", 1)[0]), "")
| where outcome =="Failure"
| summarize Count= count() by DestinationUserName
| render barchart
المتطلبات الأساسية
للتكامل مع [مستحسن] Forcepoint CASB عبر AMA تأكد من أن لديك:
- : لجمع البيانات من أجهزة ظاهرية غير Azure، يجب أن يكون Azure Arc مثبتا وممكنا. معرفة المزيد
- : يجب تثبيت تنسيق الحدث الشائع (CEF) عبر AMA وSyslog عبر موصلات بيانات AMA معرفة المزيد
إرشادات تثبيت المورد
قم بتثبيت وتكوين عامل Linux لجمع رسائل Syslog بتنسيق الحدث العام (CEF) وإعادة توجيهها إلى Microsoft Sentinel.
لاحظ أنه سيتم تخزين البيانات من جميع المناطق في مساحة العمل المحددة
- تأمين جهازك
تأكد من تكوين أمان الجهاز وفقا لنهج أمان مؤسستك
- دليل تثبيت تكامل Forcepoint
لإكمال تثبيت تكامل منتج Forcepoint هذا، اتبع الدليل المرتبط أدناه.
الخطوات التالية
لمزيد من المعلومات، انتقل إلى الحل ذي الصلة في Azure Marketplace.