[Veraltet] Forcepoint CSG über den Legacy-Agent-Connector für Microsoft Sentinel
Forcepoint Cloud Security Gateway ist ein zusammengeführter Cloudsicherheitsdienst, der Sichtbarkeit, Kontrolle und Bedrohungsschutz für Benutzer und Daten unabhängig davon bereitstellt, wo sie sich befinden. Weitere Informationen finden Sie unter https://www.forcepoint.com/product/cloud-security-gateway.
Connector-Attribute
| Connectorattribut | BESCHREIBUNG |
|---|---|
| Log Analytics-Tabellen | CommonSecurityLog (Forcepoint CSG) CommonSecurityLog (Forcepoint CSG) |
| Unterstützung für Datensammlungsregeln | Transformations-DCR des Arbeitsbereichs |
| Unterstützt von | Community |
Abfragebeispiele
Top 5 der über das Web angeforderten Domänen mit Protokollschweregrad 6 (Mittel)
CommonSecurityLog
| where TimeGenerated <= ago(0m)
| where DeviceVendor == "Forcepoint CSG"
| where DeviceProduct == "Web"
| where LogSeverity == 6
| where DeviceCustomString2 != ""
| summarize Count=count() by DeviceCustomString2
| top 5 by Count
| render piechart
Top 5 der Webbenutzer, bei denen „Aktion“ den Wert „Blockiert“ aufweist
CommonSecurityLog
| where TimeGenerated <= ago(0m)
| where DeviceVendor == "Forcepoint CSG"
| where DeviceProduct == "Web"
| where Activity == "Blocked"
| where SourceUserID != "Not available"
| summarize Count=count() by SourceUserID
| top 5 by Count
| render piechart
Top 5 der Absender-E-Mail-Adressen, bei denen die Spambewertung über 10,0 liegt
CommonSecurityLog
| where TimeGenerated <= ago(0m)
| where DeviceVendor == "Forcepoint CSG"
| where DeviceProduct == "Email"
| where DeviceCustomFloatingPoint1 > 10.0
| summarize Count=count() by SourceUserName
| top 5 by Count
| render barchart
Installationsanweisungen des Anbieters
- Konfiguration des Linux-Syslog-Agens
Für diese Integration muss der Linux-Syslog-Agent die Web-/E-Mail-Protokolle für Ihre Forcepoint Cloud Security Gateway-Instanz (CSG) an TCP-Port 514 im Common Event Format (CEF) erfassen und an Microsoft Sentinel weiterleiten.
Der Befehl zur Installation des Syslog-Agents für den Datenconnector lautet wie folgt:
sudo wget -O cef_installer.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/CEF/cef_installer.py&&sudo python cef_installer.py {0} {1}
- Optionen für die Implementierung
Für die Integration stehen zwei Implementierungsoptionen zur Verfügung.
2.1 Docker-Implementierung
Nutzt Docker-Images, bei denen die Integrationskomponente mit allen erforderlichen Abhängigkeiten bereits installiert ist.
Befolgen Sie die Anweisungen im unten verlinkten Integrationsleitfaden.
2.2 Herkömmliche Implementierung
Erfordert die manuelle Bereitstellung der Integrationskomponente auf einem sauberen Linux-Computer.
Befolgen Sie die Anweisungen im unten verlinkten Integrationsleitfaden.
- Überprüfen der Verbindung
Folgen Sie den Anleitungen zum Überprüfen Ihrer Konnektivität:
Öffnen Sie Log Analytics, um mithilfe des CommonSecurityLog-Schemas zu überprüfen, ob die Protokolle empfangen werden.
Es kann ungefähr 20 Minuten dauern, bis die Verbindung Daten in Ihren Arbeitsbereich streamt.
Wenn die Protokolle nicht empfangen werden, führen Sie das folgende Skript für Konnektivitätsprüfung aus:
- Vergewissern Sie sich mithilfe des folgenden Befehls, dass Sie auf Ihrem Computer über Python verfügen: python -version.
- Sie müssen auf Ihrem Computer über erhöhte Berechtigungen (sudo) verfügen
Führen Sie den folgenden Befehl aus, um Ihre Konnektivität zu überprüfen:
sudo wget -O cef_troubleshoot.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/CEF/cef_troubleshoot.py&&sudo python cef_troubleshoot.py {0}
- Sichern Ihres Computers
Stellen Sie sicher, dass Sie die Sicherheit des Computers gemäß der Sicherheitsrichtlinie Ihrer Organisation konfigurieren.
Nächste Schritte
Weitere Informationen finden Sie in der entsprechenden Lösung im Azure Marketplace.