Konektor brány firewall SonicWall pro Microsoft Sentinel
Common Event Format (CEF) je standardní oborový formát nad zprávami Syslogu, který používá SonicWall k umožnění interoperability událostí mezi různými platformami. Propojením protokolů CEF se službou Microsoft Sentinel můžete pro každý protokol využít výhod vyhledávání a korelace, upozorňování a rozšiřování analýzy hrozeb.
Jedná se o automaticky vygenerovaný obsah. Pokud potřebujete změny, obraťte se na poskytovatele řešení.
atributy Připojení oru
| atribut Připojení or | Popis |
|---|---|
| Tabulky Log Analytics | CommonSecurityLog (SonicWall) |
| Podpora pravidel shromažďování dat | Transformace pracovního prostoru – DCR |
| Podporováno | Sonicwall |
Ukázky dotazů
Všechny protokoly
CommonSecurityLog
| where DeviceVendor == "SonicWall"
| sort by TimeGenerated desc
Shrnutí podle cílové IP adresy a portu
CommonSecurityLog
| where DeviceVendor == "SonicWall"
| summarize count() by DestinationIP, DestinationPort, TimeGenerated
| sort by TimeGenerated desc
Zobrazit veškerý ukončený provoz z brány firewall SonicWall
CommonSecurityLog
| where DeviceVendor == "SonicWall"
| where AdditionalExtensions contains "fw_action='drop'"
Pokyny k instalaci dodavatele
- Konfigurace agenta Syslog pro Linux
Nainstalujte a nakonfigurujte agenta Linuxu tak, aby shromažďoval zprávy Syslogu ve formátu CEF (Common Event Format) a předával je do Služby Microsoft Sentinel.
Všimněte si, že data ze všech oblastí budou uložena ve vybraném pracovním prostoru 1.1 Vyberte nebo vytvořte počítač s Linuxem.
Vyberte nebo vytvořte počítač s Linuxem, který Bude Microsoft Sentinel používat jako proxy server mezi vaším řešením zabezpečení a Microsoft Sentinelem, může být váš místní prostředí, Azure nebo jiné cloudy.
1.2 Instalace kolektoru CEF na počítači s Linuxem
Nainstalujte agenta Microsoft Monitoring Agent na počítač s Linuxem a nakonfigurujte počítač tak, aby naslouchal potřebným portům a přeposílal zprávy do pracovního prostoru Služby Microsoft Sentinel. Kolektor CEF shromažďuje zprávy CEF na portu 514 TCP.
Pomocí následujícího příkazu se ujistěte, že máte na svém počítači Python: python -version.
Na počítači musíte mít zvýšená oprávnění (sudo). Spuštěním následujícího příkazu nainstalujte a použijte kolektor CEF:
sudo wget -O cef_installer.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/CEF/cef_installer.py&&sudo python cef_installer.py [Workspace ID] [Workspace Primary Key]Předávání protokolů CEF (Common Event Format) brány firewall SonicWall do agenta Syslog
Nastavte bránu firewall SonicWall tak, aby do proxy počítače odesílala zprávy Syslogu ve formátu CEF. Ujistěte se, že protokoly odesíláte na port 514 TCP na IP adrese počítače.
Postupujte podle pokynů. Pak se ujistěte, že jako zařízení vyberete místní použití 4. Pak jako formát Syslogu vyberte ArcSight.
Ověření připojení
Podle pokynů ověřte připojení:
Otevřete Log Analytics a zkontrolujte, jestli se protokoly přijímají pomocí schématu CommonSecurityLog.
Může to trvat přibližně 20 minut, než připojení streamuje data do vašeho pracovního prostoru. Pokud protokoly nejsou přijaty, spusťte následující ověřovací skript připojení:
Pomocí následujícího příkazu se ujistěte, že máte na počítači Python: python -version.
Na počítači musíte mít zvýšená oprávnění (sudo), spuštěním následujícího příkazu ověřte připojení:
sudo wget -O cef_troubleshoot.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/CEF/cef_troubleshoot.py&&sudo python cef_troubleshoot.py [Workspace ID]Zabezpečení počítače
Nezapomeňte nakonfigurovat zabezpečení počítače podle zásad zabezpečení vaší organizace.
Další kroky
Další informace najdete v souvisejícím řešení na Azure Marketplace.
Váš názor
Připravujeme: V průběhu roku 2024 budeme postupně vyřazovat problémy z GitHub coby mechanismus zpětné vazby pro obsah a nahrazovat ho novým systémem zpětné vazby. Další informace naleznete v tématu: https://aka.ms/ContentUserFeedback.
Odeslat a zobrazit názory pro