[مهمل] موصل SonicWall Firewall ل Microsoft Sentinel
هام
يتم الآن دعم جمع السجلات من العديد من الأجهزة والأجهزة من قبل تنسيق الأحداث العامة (CEF) عبر AMA أو Syslog عبر AMA أو السجلات المخصصة عبر موصل بيانات AMA في Microsoft Sentinel. لمزيد من المعلومات، راجع البحث عن موصل بيانات Microsoft Sentinel.
تنسيق الحدث الشائع (CEF) هو تنسيق قياسي للصناعة أعلى رسائل Syslog، يستخدمه SonicWall للسماح بالتشغيل التفاعلي للحدث بين الأنظمة الأساسية المختلفة. من خلال توصيل سجلات CEF ب Microsoft Sentinel، يمكنك الاستفادة من البحث والارتباط والتنبيه وإثراء التحليل الذكي للمخاطر لكل سجل.
هذا محتوى تم إنشاؤه تلقائيا. للحصول على تغييرات، اتصل بموفر الحل.
سمات الموصل
| سمة الموصل | الوصف |
|---|---|
| جدول (جداول) Log Analytics | CommonSecurityLog (SonicWall) |
| دعم قواعد جمع البيانات | تحويل DCR لمساحة العمل |
| مدعومة من قبل | SonicWall |
عينات الاستعلام
كافة السجلات
CommonSecurityLog
| where DeviceVendor == "SonicWall"
| sort by TimeGenerated desc
تلخيص حسب عنوان IP الوجهة والمنفذ
CommonSecurityLog
| where DeviceVendor == "SonicWall"
| summarize count() by DestinationIP, DestinationPort, TimeGenerated
| sort by TimeGenerated desc
إظهار جميع حركة المرور التي تم إسقاطها من جدار حماية SonicWall
CommonSecurityLog
| where DeviceVendor == "SonicWall"
| where AdditionalExtensions contains "fw_action='drop'"
إرشادات تثبيت المورد
- تكوين عامل Linux Syslog
قم بتثبيت وتكوين عامل Linux لجمع رسائل Syslog بتنسيق الحدث العام (CEF) وإعادة توجيهها إلى Microsoft Sentinel.
لاحظ أنه سيتم تخزين البيانات من جميع المناطق في مساحة العمل المحددة 1.1 حدد أو أنشئ جهاز Linux.
حدد أو أنشئ جهاز Linux الذي سيستخدمه Microsoft Sentinel كوكيل بين حل الأمان الخاص بك وMicrosoft Sentinel يمكن أن يكون هذا الجهاز على البيئة المحلية أو Azure أو السحب الأخرى.
1.2 تثبيت مجمع CEF على جهاز Linux
قم بتثبيت عامل مراقبة Microsoft على جهاز Linux الخاص بك وتكوين الجهاز للاستماع إلى المنفذ الضروري وإعادة توجيه الرسائل إلى مساحة عمل Microsoft Sentinel. يجمع مجمع CEF رسائل CEF على المنفذ 514 TCP.
تأكد من أن لديك Python على جهازك باستخدام الأمر التالي: python -version.
يجب أن يكون لديك أذونات عالية المستوى (sudo) على جهازك. قم بتشغيل الأمر التالي لتثبيت جامع CEF وتطبيقه:
sudo wget -O cef_installer.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/CEF/cef_installer.py&&sudo python cef_installer.py [Workspace ID] [Workspace Primary Key]إعادة توجيه SonicWall Firewall Common Event Format (CEF) إلى عامل Syslog
قم بتعيين جدار حماية SonicWall لإرسال رسائل Syslog بتنسيق CEF إلى جهاز الوكيل. تأكد من إرسال السجلات إلى المنفذ 514 TCP على عنوان IP للجهاز.
اتبع الإرشادات. ثم تأكد من تحديد الاستخدام المحلي 4 كمرفق. ثم حدد ArcSight بتنسيق Syslog.
التحقق من صحة الاتصال
اتبع الإرشادات للتحقق من صحة الاتصال:
افتح Log Analytics للتحقق مما إذا كان يتم تلقي السجلات باستخدام مخطط CommonSecurityLog.
قد يستغرق الأمر حوالي 20 دقيقة حتى يقوم الاتصال ببث البيانات إلى مساحة العمل الخاصة بك. إذا لم يتم تلقي السجلات، فقم بتشغيل البرنامج النصي التالي للتحقق من صحة الاتصال:
تأكد من أن لديك Python على جهازك باستخدام الأمر التالي: python -version
يجب أن يكون لديك أذونات مرتفعة (sudo) على جهازك قم بتشغيل الأمر التالي للتحقق من صحة الاتصال:
sudo wget -O cef_troubleshoot.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/CEF/cef_troubleshoot.py&&sudo python cef_troubleshoot.py [Workspace ID]تأمين جهازك
تأكد من تكوين أمان الجهاز وفقًا لنهج أمان المؤسسة الخاصة بك.
الخطوات التالية
لمزيد من المعلومات، انتقل إلى الحل ذي الصلة في Azure Marketplace.