[مستحسن] Forcepoint NGFW عبر موصل AMA ل Microsoft Sentinel
يسمح لك موصل Forcepoint NGFW (جدار حماية الجيل التالي) بتصدير سجلات Forcepoint NGFW المعرفة من قبل المستخدم تلقائيا إلى Microsoft Sentinel في الوقت الفعلي. وهذا يثري الرؤية في أنشطة المستخدم المسجلة بواسطة NGFW، ويمكن المزيد من الارتباط بالبيانات من أحمال عمل Azure والموجزات الأخرى، ويحسن إمكانية المراقبة باستخدام المصنفات داخل Microsoft Sentinel.
سمات الاتصال أو
سمة الموصل | الوصف |
---|---|
جدول (جداول) Log Analytics | CommonSecurityLog (ForcePointNGFW) |
دعم قواعد جمع البيانات | Azure Monitor Agent DCR |
مدعومة من قبل | Community |
عينات الاستعلام
إظهار كافة الإجراءات التي تم إنهاؤها من Forcepoint NGFW
CommonSecurityLog
| where DeviceVendor == "Forcepoint"
| where DeviceProduct == "NGFW"
| where DeviceAction == "Terminate"
إظهار جميع Forcepoint NGFW مع سلوك مخترق مشتبه به
CommonSecurityLog
| where DeviceVendor == "Forcepoint"
| where DeviceProduct == "NGFW"
| where Activity contains "compromise"
إظهار تجميع المخططات لجميع أحداث Forcepoint NGFW حسب نوع النشاط
CommonSecurityLog
| where DeviceVendor == "Forcepoint"
| where DeviceProduct == "NGFW"
| summarize count=count() by Activity
| render barchart
المتطلبات الأساسية
للتكامل مع [مستحسن] Forcepoint NGFW عبر AMA تأكد من أن لديك:
- : لجمع البيانات من أجهزة ظاهرية غير Azure، يجب أن يكون Azure Arc مثبتا وممكنا. معرفة المزيد
- : يجب تثبيت تنسيق الحدث الشائع (CEF) عبر AMA وSyslog عبر موصلات بيانات AMA معرفة المزيد
إرشادات تثبيت المورد
قم بتثبيت وتكوين عامل Linux لجمع رسائل Syslog بتنسيق الحدث العام (CEF) وإعادة توجيهها إلى Microsoft Sentinel.
لاحظ أنه سيتم تخزين البيانات من جميع المناطق في مساحة العمل المحددة
- تأمين جهازك
تأكد من تكوين أمان الجهاز وفقا لنهج أمان مؤسستك
- دليل تثبيت تكامل Forcepoint
لإكمال تثبيت تكامل منتج Forcepoint هذا، اتبع الدليل المرتبط أدناه.
الخطوات التالية
لمزيد من المعلومات، انتقل إلى الحل ذي الصلة في Azure Marketplace.