[Zastaralé] Forcepoint CSG prostřednictvím konektoru starší verze agenta pro Microsoft Sentinel
Forcepoint Cloud Security Gateway je sblížená cloudová služba zabezpečení, která poskytuje viditelnost, kontrolu a ochranu před hrozbami pro uživatele a data bez ohledu na to, kde jsou. Další informace najdete tady: https://www.forcepoint.com/product/cloud-security-gateway
atributy Připojení oru
atribut Připojení or | Popis |
---|---|
Tabulky Log Analytics | CommonSecurityLog (Forcepoint CSG) CommonSecurityLog (Forcepoint CSG) |
Podpora pravidel shromažďování dat | Transformace pracovního prostoru – DCR |
Podporováno | Community |
Ukázky dotazů
Prvních 5 webových požadovaných domén se závažností protokolu rovnající se 6 (střední)
CommonSecurityLog
| where TimeGenerated <= ago(0m)
| where DeviceVendor == "Forcepoint CSG"
| where DeviceProduct == "Web"
| where LogSeverity == 6
| where DeviceCustomString2 != ""
| summarize Count=count() by DeviceCustomString2
| top 5 by Count
| render piechart
Prvních 5 webových uživatelů s akcí rovnou "Blokováno"
CommonSecurityLog
| where TimeGenerated <= ago(0m)
| where DeviceVendor == "Forcepoint CSG"
| where DeviceProduct == "Web"
| where Activity == "Blocked"
| where SourceUserID != "Not available"
| summarize Count=count() by SourceUserID
| top 5 by Count
| render piechart
Prvních 5 e-mailových adres odesílatele, kde je skóre spamu větší než 10,0
CommonSecurityLog
| where TimeGenerated <= ago(0m)
| where DeviceVendor == "Forcepoint CSG"
| where DeviceProduct == "Email"
| where DeviceCustomFloatingPoint1 > 10.0
| summarize Count=count() by SourceUserName
| top 5 by Count
| render barchart
Pokyny k instalaci dodavatele
- Konfigurace agenta Syslog pro Linux
Tato integrace vyžaduje, aby agent Syslog pro Linux shromažďoval protokoly webové/e-mailové brány ForcePoint Cloud Security Gateway na portu 514 TCP jako cef (Common Event Format) a předával je do Microsoft Sentinelu.
Instalační příkaz agenta Syslog data Připojení or je:
sudo wget -O cef_installer.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/CEF/cef_installer.py&&sudo python cef_installer.py {0} {1}
- Možnosti implementace
Integrace je dostupná se dvěma možnostmi implementace.
2.1 Implementace Dockeru
Využívá image Dockeru, ve kterých je už součást integrace nainstalovaná se všemi nezbytnými závislostmi.
Postupujte podle pokynů uvedených v průvodci integrací, který je propojený níže.
2.2 Tradiční implementace
Vyžaduje ruční nasazení integrační komponenty v čistém počítači s Linuxem.
Postupujte podle pokynů uvedených v průvodci integrací, který je propojený níže.
- Ověření připojení
Podle pokynů ověřte připojení:
Otevřete Log Analytics a zkontrolujte, jestli se protokoly přijímají pomocí schématu CommonSecurityLog.
Může to trvat přibližně 20 minut, než připojení streamuje data do vašeho pracovního prostoru.
Pokud protokoly nejsou přijaty, spusťte následující ověřovací skript připojení:
- Pomocí následujícího příkazu se ujistěte, že máte na počítači Python: python -version.
- Na počítači musíte mít zvýšená oprávnění (sudo).
Spuštěním následujícího příkazu ověřte připojení:
sudo wget -O cef_troubleshoot.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/CEF/cef_troubleshoot.py&&sudo python cef_troubleshoot.py {0}
- Zabezpečení počítače
Nezapomeňte nakonfigurovat zabezpečení počítače podle zásad zabezpečení vaší organizace.
Další kroky
Další informace najdete v souvisejícím řešení na Azure Marketplace.