[Veraltet] Forcepoint CASB über AMA-Connector für Microsoft Sentinel
Wichtig
Die Protokollsammlung aus vielen Appliances und Geräten wird jetzt vom Common Event Format (CEF) über AMA, Syslog über AMA oder benutzerdefinierte Protokolle über den AMA-Datenconnector in Microsoft Sentinel unterstützt. Weitere Informationen finden Sie unter Suchen Ihres Microsoft Sentinel-Datenconnectors.
Mit dem Connector „Forcepoint CASB“ (Cloud Access Security Broker) können CASB-Protokolle und -Ereignisse automatisch und in Echtzeit in Microsoft Sentinel exportiert werden. So erhalten Sie einen umfassenderen Einblick in Benutzeraktivitäten für mehrere Standorte und Cloudanwendungen, weitere Korrelationsmöglichkeiten mit Daten aus Azure-Workloads und anderen Feeds sowie eine verbesserte Überwachungsfunktion mit Arbeitsmappen in Azure Sentinel.
Dieser Inhalt wurde automatisch generiert. Wenden Sie sich im Zusammenhang mit Änderungen an den Lösungsanbieter.
Connectorattribute
| Connectorattribut | BESCHREIBUNG |
|---|---|
| Log Analytics-Tabellen | CommonSecurityLog (ForcepointCASB) |
| Unterstützung für Datensammlungsregeln | Transformations-DCR des Arbeitsbereichs |
| Unterstützt von | Community |
Abfragebeispiele
Erste 5 Benutzer mit der höchsten Anzahl von Protokollen
CommonSecurityLog
| summarize Count = count() by DestinationUserName
| top 5 by DestinationUserName
| render barchart
**Erste 5 Benutzer nach Anzahl fehlerhafter Versuche**
CommonSecurityLog
| extend outcome = coalesce(column_ifexists("EventOutcome", ""), tostring(split(split(AdditionalExtensions, ";", 2)[0], "=", 1)[0]), "")
| extend reason = coalesce(column_ifexists("Reason", ""), tostring(split(split(AdditionalExtensions, ";", 3)[0], "=", 1)[0]), "")
| where outcome =="Failure"
| summarize Count= count() by DestinationUserName
| render barchart
Voraussetzungen
Um die Integration mit [veraltet] Forcepoint CASB über AMA zu ermöglichen, stellen Sie sicher, dass Sie folgendes haben:
- ****: Damit Daten von Nicht-Azure-VMs gesammelt werden können, muss auf diesen Azure Arc installiert und aktiviert sein. Weitere Informationen
- ****: Common Event Format (CEF) über AMA und Syslog über AMA-Datenconnectors müssen installiert werden. Weitere Informationen
Installationsanweisungen des Anbieters
Installieren und konfigurieren Sie den Linux-Agent, damit er Ihre CEF-Syslog-Nachrichten (Common Event Format) sammelt und an Microsoft Sentinel weiterleitet.
Beachten Sie, dass die Daten aus allen Regionen im ausgewählten Arbeitsbereich gespeichert werden.
- Sichern Ihres Computers
Stellen Sie sicher, dass Sie die Sicherheit des Computers gemäß der Sicherheitsrichtlinie Ihrer Organisation konfigurieren.
- Installationsleitfaden zur Forcepoint-Integration
Verwenden Sie den folgenden Leitfaden, um die Installation dieser Forcepoint-Produktintegration abzuschließen:
Nächste Schritte
Weitere Informationen finden Sie in der entsprechenden Lösung im Azure Marketplace.