Teilen über


[Veraltet] Forcepoint CSG über den Legacy-Agent-Connector für Microsoft Sentinel

Wichtig

Die Protokollsammlung aus vielen Appliances und Geräten wird jetzt vom Common Event Format (CEF) über AMA, Syslog über AMA oder benutzerdefinierte Protokolle über den AMA-Datenconnector in Microsoft Sentinel unterstützt. Weitere Informationen finden Sie unter Suchen Ihres Microsoft Sentinel-Datenconnectors.

Forcepoint Cloud Security Gateway ist ein zusammengeführter Cloudsicherheitsdienst, der Sichtbarkeit, Kontrolle und Bedrohungsschutz für Benutzer und Daten unabhängig davon bereitstellt, wo sie sich befinden. Weitere Informationen finden Sie unter https://www.forcepoint.com/product/cloud-security-gateway.

Connector-Attribute

Connectorattribut BESCHREIBUNG
Log Analytics-Tabellen CommonSecurityLog (Forcepoint CSG)
CommonSecurityLog (Forcepoint CSG)
Unterstützung für Datensammlungsregeln Transformations-DCR des Arbeitsbereichs
Unterstützt von Community

Abfragebeispiele

Top 5 der über das Web angeforderten Domänen mit Protokollschweregrad 6 (Mittel)

CommonSecurityLog

| where TimeGenerated <= ago(0m)

| where DeviceVendor == "Forcepoint CSG"

| where DeviceProduct == "Web"

| where LogSeverity == 6

| where DeviceCustomString2 != ""

| summarize Count=count() by DeviceCustomString2

| top 5 by Count

| render piechart

Top 5 der Webbenutzer, bei denen „Aktion“ den Wert „Blockiert“ aufweist

CommonSecurityLog

| where TimeGenerated <= ago(0m)

| where DeviceVendor == "Forcepoint CSG"

| where DeviceProduct == "Web"

| where Activity == "Blocked"

| where SourceUserID != "Not available"

| summarize Count=count() by SourceUserID

| top 5 by Count

| render piechart

Top 5 der Absender-E-Mail-Adressen, bei denen die Spambewertung über 10,0 liegt

CommonSecurityLog

| where TimeGenerated <= ago(0m)

| where DeviceVendor == "Forcepoint CSG"

| where DeviceProduct == "Email"

| where DeviceCustomFloatingPoint1 > 10.0

| summarize Count=count() by SourceUserName

| top 5 by Count

| render barchart

Installationsanweisungen des Anbieters

  1. Konfiguration des Linux-Syslog-Agens

Für diese Integration muss der Linux-Syslog-Agent die Web-/E-Mail-Protokolle für Ihre Forcepoint Cloud Security Gateway-Instanz (CSG) an TCP-Port 514 im Common Event Format (CEF) erfassen und an Microsoft Sentinel weiterleiten.

Der Befehl zur Installation des Syslog-Agents für den Datenconnector lautet wie folgt:

sudo wget -O cef_installer.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/CEF/cef_installer.py&&sudo python cef_installer.py {0} {1}

  1. Optionen für die Implementierung

Für die Integration stehen zwei Implementierungsoptionen zur Verfügung.

2.1 Docker-Implementierung

Nutzt Docker-Images, bei denen die Integrationskomponente mit allen erforderlichen Abhängigkeiten bereits installiert ist.

Befolgen Sie die Anweisungen im unten verlinkten Integrationsleitfaden.

Integrationsleitfaden >

2.2 Herkömmliche Implementierung

Erfordert die manuelle Bereitstellung der Integrationskomponente auf einem sauberen Linux-Computer.

Befolgen Sie die Anweisungen im unten verlinkten Integrationsleitfaden.

Integrationsleitfaden >

  1. Überprüfen der Verbindung

Folgen Sie den Anleitungen zum Überprüfen Ihrer Konnektivität:

Öffnen Sie Log Analytics, um mithilfe des CommonSecurityLog-Schemas zu überprüfen, ob die Protokolle empfangen werden.

Es kann ungefähr 20 Minuten dauern, bis die Verbindung Daten in Ihren Arbeitsbereich streamt.

Wenn die Protokolle nicht empfangen werden, führen Sie das folgende Skript für Konnektivitätsprüfung aus:

  1. Vergewissern Sie sich mithilfe des folgenden Befehls, dass Sie auf Ihrem Computer über Python verfügen: python -version.
  1. Sie müssen auf Ihrem Computer über erhöhte Berechtigungen (sudo) verfügen

Führen Sie den folgenden Befehl aus, um Ihre Konnektivität zu überprüfen:

sudo wget -O cef_troubleshoot.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/CEF/cef_troubleshoot.py&&sudo python cef_troubleshoot.py {0}

  1. Sichern Ihres Computers

Stellen Sie sicher, dass Sie die Sicherheit des Computers gemäß der Sicherheitsrichtlinie Ihrer Organisation konfigurieren.

Weitere Informationen >

Nächste Schritte

Weitere Informationen finden Sie in der entsprechenden Lösung im Azure Marketplace.