[Empfohlen] Forcepoint NGFW über AMA-Connector für Microsoft Sentinel
Mit dem Forcepoint NGFW-Connector (Next Generation Firewall) können Sie benutzerdefinierte Forcepoint-NGFW-Protokolle automatisch in Echtzeit in Microsoft Sentinel exportieren. Dies sorgt für einen tieferen Einblick in mit NGFW erfasste Benutzeraktivitäten, ermöglicht eine weitere Korrelation mit Daten aus Azure-Workloads und anderen Feeds und verbessert die Überwachungsfunktionen mit Arbeitsmappen in Microsoft Sentinel.
Connector-Attribute
| Connectorattribut | BESCHREIBUNG |
|---|---|
| Log Analytics-Tabellen | CommonSecurityLog (ForcePointNGFW) |
| Unterstützung für Datensammlungsregeln | Azure Monitor-Agent-DCR |
| Unterstützt von | Community |
Abfragebeispiele
Alle beendeten Aktionen aus Forcepoint NGFW anzeigen
CommonSecurityLog
| where DeviceVendor == "Forcepoint"
| where DeviceProduct == "NGFW"
| where DeviceAction == "Terminate"
Gesamte Forcepoint NGFW mit mutmaßlichem Kompromittierungsverhalten anzeigen
CommonSecurityLog
| where DeviceVendor == "Forcepoint"
| where DeviceProduct == "NGFW"
| where Activity contains "compromise"
Diagrammgruppierung aller Forcepoint NGFW-Ereignisse nach Aktivitätstyp anzeigen
CommonSecurityLog
| where DeviceVendor == "Forcepoint"
| where DeviceProduct == "NGFW"
| summarize count=count() by Activity
| render barchart
Voraussetzungen
Um mit [Empfohlen] Forcepoint NGFW über AMA zu integrieren, stellen Sie sicher, dass Sie folgendes haben:
- ****: Damit Daten von Nicht-Azure-VMs gesammelt werden können, muss auf diesen Azure Arc installiert und aktiviert sein. Weitere Informationen
- ****: Common Event Format (CEF) über AMA und Syslog über AMA-Datenconnectors müssen installiert werden. Weitere Informationen
Installationsanweisungen des Anbieters
Installieren und konfigurieren Sie den Linux-Agent, damit er Ihre CEF-Syslog-Nachrichten (Common Event Format) sammelt und an Microsoft Sentinel weiterleitet.
Beachten Sie, dass die Daten aus allen Regionen im ausgewählten Arbeitsbereich gespeichert werden.
- Sichern Ihres Computers
Stellen Sie sicher, dass Sie die Sicherheit des Computers gemäß der Sicherheitsrichtlinie Ihrer Organisation konfigurieren.
- Installationsleitfaden zur Forcepoint-Integration
Verwenden Sie den folgenden Leitfaden, um die Installation dieser Forcepoint-Produktintegration abzuschließen:
Nächste Schritte
Weitere Informationen finden Sie in der entsprechenden Lösung im Azure Marketplace.