[Doporučeno] Vynucení NGFW přes konektor AMA pro Microsoft Sentinel
Konektor Forcepoint NGFW (Firewall nové generace) umožňuje automaticky exportovat uživatelsky definované protokoly NGFW do Služby Microsoft Sentinel v reálném čase. To rozšiřuje přehled o aktivitách uživatelů zaznamenaných službou NGFW, umožňuje další korelaci s daty z úloh Azure a dalších informačních kanálů a zlepšuje možnosti monitorování pomocí sešitů v Microsoft Sentinelu.
atributy Připojení oru
atribut Připojení or | Popis |
---|---|
Tabulky Log Analytics | CommonSecurityLog (ForcePointNGFW) |
Podpora pravidel shromažďování dat | DcR agenta služby Azure Monitor |
Podporováno | Community |
Ukázky dotazů
Zobrazit všechny ukončené akce z forcepoint NGFW
CommonSecurityLog
| where DeviceVendor == "Forcepoint"
| where DeviceProduct == "NGFW"
| where DeviceAction == "Terminate"
Zobrazit všechny forcepointové NGFW s podezřelým chováním ohrožení zabezpečení
CommonSecurityLog
| where DeviceVendor == "Forcepoint"
| where DeviceProduct == "NGFW"
| where Activity contains "compromise"
Zobrazení seskupení všech událostí NGFW forcepointu podle typu aktivity
CommonSecurityLog
| where DeviceVendor == "Forcepoint"
| where DeviceProduct == "NGFW"
| summarize count=count() by Activity
| render barchart
Požadavky
Pokud chcete provést integraci s [Doporučeno] Forcepoint NGFW přes AMA, ujistěte se, že máte:
- : Pokud chcete shromažďovat data z virtuálních počítačů mimo Azure, musí mít nainstalovanou a povolenou službu Azure Arc. Další informace
- : Common Event Format (CEF) přes AMA a Syslog prostřednictvím datových konektorů AMA musí být nainstalované Další informace
Pokyny k instalaci dodavatele
Nainstalujte a nakonfigurujte agenta Linuxu tak, aby shromažďoval zprávy Syslogu ve formátu CEF (Common Event Format) a předával je do Služby Microsoft Sentinel.
Všimněte si, že data ze všech oblastí budou uložena ve vybraném pracovním prostoru.
- Zabezpečení počítače
Nezapomeňte nakonfigurovat zabezpečení počítače podle zásad zabezpečení vaší organizace.
- Průvodce instalací integrace forcepointu
Pokud chcete dokončit instalaci této integrace produktu ForcePoint, postupujte podle níže uvedené příručky.
Další kroky
Další informace najdete v souvisejícím řešení na Azure Marketplace.