WatchGuard Firebox-Connector für Microsoft Sentinel
WatchGuard Firebox (https://www.watchguard.com/wgrd-products/firewall-appliances und https://www.watchguard.com/wgrd-products/cloud-and-virtual-firewalls) besteht aus Sicherheitsprodukten/Firewall-Appliances. Watchguard Firebox sendet Syslog an den Watchguard Firebox-Collector-Agent. Der Agent sendet die Nachricht dann an den Arbeitsbereich.
Dieser Inhalt wurde automatisch generiert. Wenden Sie sich im Zusammenhang mit Änderungen an den Lösungsanbieter.
Connectorattribute
Connectorattribut | BESCHREIBUNG |
---|---|
Log Analytics-Tabellen | Syslog (WatchGuardFirebox) |
Unterstützung für Datensammlungsregeln | Transformations-DCR des Arbeitsbereichs |
Unterstützt von | WatchGuard |
Abfragebeispiele
Wichtigste 10 Fireboxes in den letzten 24 Stunden
WatchGuardFirebox
| where TimeGenerated >= ago(24h)
| summarize count() by HostName
| top 10 by count_ desc
Wichtigste 10 Nachrichten der Firebox namens WatchGuard-XTM in den letzten 24 Stunden
WatchGuardFirebox
| where HostName contains 'WatchGuard-XTM'
| where TimeGenerated >= ago(24h)
| summarize count() by MessageId
| top 10 by count_ desc
Wichtigste 10 Anwendungen der Firebox namens WatchGuard-XTM in den letzten 24 Stunden
WatchGuardFirebox
| where HostName contains 'WatchGuard-XTM'
| where TimeGenerated >= ago(24h)
| summarize count() by Application
| top 10 by count_ desc
Installationsanweisungen des Anbieters
HINWEIS: Damit dieser Datenconnector wie erwartet funktioniert, ist er von einem Parser abhängig, der auf einer Kusto-Funktion basiert, die als Teil der Lösung bereitgestellt wird. Um den Funktionscode in Log Analytics anzuzeigen, öffnen Sie das Blatt „Log Analytics-/Microsoft Sentinel-Protokolle“, klicken Sie auf „Funktionen“, suchen Sie nach dem Alias „WatchGuardFirebox“ und laden Sie den Funktionscode oder klicken Sie hier. Geben Sie in der zweiten Zeile der Abfrage den/die Hostnamen Ihrer WatchGuardFirebox-Geräte und alle anderen eindeutigen Bezeichner für den Protokollstream ein. Die Aktivierung der Funktion dauert nach der Installation/Aktualisierung der Lösung in der Regel zehn bis 15 Minuten.
- Installieren und Onboarding des Agents für Linux
In der Regel sollten Sie den Agent auf einem anderen Computer als dem installieren, auf dem die Protokolle generiert werden.
Syslog-Protokolle werden nur von Linux-Agents gesammelt.
- Konfigurieren der zu erfassenden Protokolle
Konfigurieren Sie die zu erfassenden Einrichtungen und die zugehörigen Schweregrade.
- Wählen Sie unter Konfiguration in den erweiterten Einstellungen des Arbeitsbereichs die Option Daten und dann Syslog aus.
- Wählen Sie auf Nachstehende Konfiguration auf meine Computer anwenden aus, und wählen Sie die Einrichtungen und Schweregrade aus.
- Klicken Sie auf Speichern.
Nächste Schritte
Weitere Informationen finden Sie in der entsprechenden Lösung im Azure Marketplace.
Feedback
https://aka.ms/ContentUserFeedback.
Bald verfügbar: Im Laufe des Jahres 2024 werden wir GitHub-Tickets als Feedbackmechanismus für Inhalte auslaufen lassen und es durch ein neues Feedbacksystem ersetzen. Weitere Informationen finden Sie unter:Einreichen und Feedback anzeigen für