Konektor WatchGuard Firebox pro Microsoft Sentinel
WatchGuard Firebox (https://www.watchguard.com/wgrd-products/firewall-appliances a https://www.watchguard.com/wgrd-products/cloud-and-virtual-firewalls) je bezpečnostní produkty / zařízení brány firewall. Watchguard Firebox odešle syslog do Watchguard Firebox collector agent. Agent pak odešle zprávu do pracovního prostoru.
Jedná se o automaticky vygenerovaný obsah. Pokud potřebujete změny, obraťte se na poskytovatele řešení.
atributy Připojení oru
atribut Připojení or | Popis |
---|---|
Tabulky Log Analytics | Syslog (WatchGuardFirebox) |
Podpora pravidel shromažďování dat | Transformace pracovního prostoru – DCR |
Podporováno | WatchGuard |
Ukázky dotazů
Prvních 10 fireboxů za posledních 24 hodin
WatchGuardFirebox
| where TimeGenerated >= ago(24h)
| summarize count() by HostName
| top 10 by count_ desc
Firebox Named WatchGuard-XTM top 10 zpráv za posledních 24 hodin
WatchGuardFirebox
| where HostName contains 'WatchGuard-XTM'
| where TimeGenerated >= ago(24h)
| summarize count() by MessageId
| top 10 by count_ desc
Firebox s názvem WatchGuard-XTM top 10 aplikací za posledních 24 hodin
WatchGuardFirebox
| where HostName contains 'WatchGuard-XTM'
| where TimeGenerated >= ago(24h)
| summarize count() by Application
| top 10 by count_ desc
Pokyny k instalaci dodavatele
POZNÁMKA: Tento datový konektor závisí na analyzátoru založeném na funkci Kusto, která funguje podle očekávání, která se nasadí jako součást řešení. Pokud chcete zobrazit kód funkce v Log Analytics, otevřete okno Protokoly Log Analytics nebo Microsoft Sentinelu, klikněte na Funkce a vyhledejte alias WatchGuardFirebox a načtěte kód funkce nebo klikněte sem na druhý řádek dotazu, zadejte názvy hostitelů zařízení WatchGuard Firebox a všechny další jedinečné identifikátory pro protokolový stream. Aktivace funkce obvykle trvá 10 až 15 minut po instalaci nebo aktualizaci řešení.
- Instalace a onboarding agenta pro Linux
Obvykle byste měli agenta nainstalovat do jiného počítače, než na kterém se protokoly generují.
Protokoly syslogu se shromažďují jenom z agentů Linuxu .
- Konfigurace protokolů, které se mají shromažďovat
Nakonfigurujte zařízení, která chcete shromažďovat, a jejich závažnosti.
- V části Konfigurace upřesňujícího nastavení pracovního prostoru vyberte Data a potom Syslog.
- Na moje počítače vyberte Použít následující konfiguraci a vyberte zařízení a závažnosti.
- Klikněte na Uložit.
Další kroky
Další informace najdete v souvisejícím řešení na Azure Marketplace.