Teilen über


[Veraltet] Forcepoint NGFW über AMA-Connector für Microsoft Sentinel

Wichtig

Die Protokollsammlung aus vielen Appliances und Geräten wird jetzt vom Common Event Format (CEF) über AMA, Syslog über AMA oder benutzerdefinierte Protokolle über den AMA-Datenconnector in Microsoft Sentinel unterstützt. Weitere Informationen finden Sie unter Suchen Ihres Microsoft Sentinel-Datenconnectors.

Mit dem Forcepoint NGFW-Connector (Next Generation Firewall) können Sie benutzerdefinierte Forcepoint-NGFW-Protokolle automatisch in Echtzeit in Microsoft Sentinel exportieren. Dies sorgt für einen tieferen Einblick in mit NGFW erfasste Benutzeraktivitäten, ermöglicht eine weitere Korrelation mit Daten aus Azure-Workloads und anderen Feeds und verbessert die Überwachungsfunktionen mit Arbeitsmappen in Microsoft Sentinel.

Dieser Inhalt wurde automatisch generiert. Wenden Sie sich im Zusammenhang mit Änderungen an den Lösungsanbieter.

Connectorattribute

Connectorattribut BESCHREIBUNG
Log Analytics-Tabellen CommonSecurityLog (ForcePointNGFW)
Unterstützung für Datensammlungsregeln Transformations-DCR des Arbeitsbereichs
Unterstützt von Community

Abfragebeispiele

Alle beendeten Aktionen aus Forcepoint NGFW anzeigen


CommonSecurityLog

| where DeviceVendor == "Forcepoint"

| where DeviceProduct == "NGFW"

| where DeviceAction == "Terminate"

Gesamte Forcepoint NGFW mit mutmaßlichem Kompromittierungsverhalten anzeigen


CommonSecurityLog

| where DeviceVendor == "Forcepoint"

| where DeviceProduct == "NGFW"

| where Activity contains "compromise"

Diagrammgruppierung aller Forcepoint NGFW-Ereignisse nach Aktivitätstyp anzeigen


CommonSecurityLog

| where DeviceVendor == "Forcepoint"

| where DeviceProduct == "NGFW"

| summarize count=count() by Activity

| render barchart

Voraussetzungen

Um die Integration mit [veraltet] Forcepoint NGFW über AMA zu ermöglichen, stellen Sie folgendes sicher:

  • ****: Damit Daten von Nicht-Azure-VMs gesammelt werden können, muss auf diesen Azure Arc installiert und aktiviert sein. Weitere Informationen
  • ****: Common Event Format (CEF) über AMA und Syslog über AMA-Datenconnectors müssen installiert werden. Weitere Informationen

Installationsanweisungen des Anbieters

Installieren und konfigurieren Sie den Linux-Agent, damit er Ihre CEF-Syslog-Nachrichten (Common Event Format) sammelt und an Microsoft Sentinel weiterleitet.

Beachten Sie, dass die Daten aus allen Regionen im ausgewählten Arbeitsbereich gespeichert werden.

  1. Sichern Ihres Computers

Stellen Sie sicher, dass Sie die Sicherheit des Computers gemäß der Sicherheitsrichtlinie Ihrer Organisation konfigurieren.

Weitere Informationen>

  1. Installationsleitfaden zur Forcepoint-Integration

Verwenden Sie den folgenden Leitfaden, um die Installation dieser Forcepoint-Produktintegration abzuschließen:

Installationshandbuch >

Nächste Schritte

Weitere Informationen finden Sie in der entsprechenden Lösung im Azure Marketplace.