[Veraltet] WatchGuard Firebox Connector für Microsoft Sentinel
Wichtig
Die Protokollsammlung aus vielen Appliances und Geräten wird jetzt vom Common Event Format (CEF) über AMA, Syslog über AMA oder benutzerdefinierte Protokolle über den AMA-Datenconnector in Microsoft Sentinel unterstützt. Weitere Informationen finden Sie unter Suchen Ihres Microsoft Sentinel-Datenconnectors.
WatchGuard Firebox (https://www.watchguard.com/wgrd-products/firewall-appliances und https://www.watchguard.com/wgrd-products/cloud-and-virtual-firewalls) besteht aus Sicherheitsprodukten/Firewall-Appliances. Watchguard Firebox sendet Syslog an den Watchguard Firebox-Collector-Agent. Der Agent sendet die Nachricht dann an den Arbeitsbereich.
Dieser Inhalt wurde automatisch generiert. Wenden Sie sich im Zusammenhang mit Änderungen an den Lösungsanbieter.
Connectorattribute
Connectorattribut | BESCHREIBUNG |
---|---|
Log Analytics-Tabellen | Syslog (WatchGuardFirebox) |
Unterstützung für Datensammlungsregeln | Transformations-DCR des Arbeitsbereichs |
Unterstützt von | WatchGuard |
Abfragebeispiele
Wichtigste 10 Fireboxes in den letzten 24 Stunden
WatchGuardFirebox
| where TimeGenerated >= ago(24h)
| summarize count() by HostName
| top 10 by count_ desc
Wichtigste 10 Nachrichten der Firebox namens WatchGuard-XTM in den letzten 24 Stunden
WatchGuardFirebox
| where HostName contains 'WatchGuard-XTM'
| where TimeGenerated >= ago(24h)
| summarize count() by MessageId
| top 10 by count_ desc
Wichtigste 10 Anwendungen der Firebox namens WatchGuard-XTM in den letzten 24 Stunden
WatchGuardFirebox
| where HostName contains 'WatchGuard-XTM'
| where TimeGenerated >= ago(24h)
| summarize count() by Application
| top 10 by count_ desc
Installationsanweisungen des Anbieters
HINWEIS: Damit dieser Datenconnector wie erwartet funktioniert, ist er von einem Parser abhängig, der auf einer Kusto-Funktion basiert, die als Teil der Lösung bereitgestellt wird. Um den Funktionscode in Log Analytics anzuzeigen, öffnen Sie das Blatt „Log Analytics-/Microsoft Sentinel-Protokolle“, klicken Sie auf „Funktionen“, suchen Sie nach dem Alias „WatchGuardFirebox“ und laden Sie den Funktionscode oder klicken Sie hier. Geben Sie in der zweiten Zeile der Abfrage den/die Hostnamen Ihrer WatchGuardFirebox-Geräte und alle anderen eindeutigen Bezeichner für den Protokollstream ein. Die Aktivierung der Funktion dauert nach der Installation/Aktualisierung der Lösung in der Regel zehn bis 15 Minuten.
- Installieren und Onboarding des Agents für Linux
In der Regel sollten Sie den Agent auf einem anderen Computer als dem installieren, auf dem die Protokolle generiert werden.
Syslog-Protokolle werden nur von Linux-Agents gesammelt.
- Konfigurieren der zu erfassenden Protokolle
Konfigurieren Sie die zu erfassenden Einrichtungen und die zugehörigen Schweregrade.
- Wählen Sie unter Konfiguration in den erweiterten Einstellungen des Arbeitsbereichs die Option Daten und dann Syslog aus.
- Wählen Sie auf Nachstehende Konfiguration auf meine Computer anwenden aus, und wählen Sie die Einrichtungen und Schweregrade aus.
- Klicken Sie auf Speichern.
Nächste Schritte
Weitere Informationen finden Sie in der entsprechenden Lösung im Azure Marketplace.