[Veraltet] Forcepoint NGFW über AMA-Connector für Microsoft Sentinel
Wichtig
Die Protokollsammlung aus vielen Appliances und Geräten wird jetzt vom Common Event Format (CEF) über AMA, Syslog über AMA oder benutzerdefinierte Protokolle über den AMA-Datenconnector in Microsoft Sentinel unterstützt. Weitere Informationen finden Sie unter Suchen Ihres Microsoft Sentinel-Datenconnectors.
Mit dem Forcepoint NGFW-Connector (Next Generation Firewall) können Sie benutzerdefinierte Forcepoint-NGFW-Protokolle automatisch in Echtzeit in Microsoft Sentinel exportieren. Dies sorgt für einen tieferen Einblick in mit NGFW erfasste Benutzeraktivitäten, ermöglicht eine weitere Korrelation mit Daten aus Azure-Workloads und anderen Feeds und verbessert die Überwachungsfunktionen mit Arbeitsmappen in Microsoft Sentinel.
Dieser Inhalt wurde automatisch generiert. Wenden Sie sich im Zusammenhang mit Änderungen an den Lösungsanbieter.
Connectorattribute
| Connectorattribut | BESCHREIBUNG |
|---|---|
| Log Analytics-Tabellen | CommonSecurityLog (ForcePointNGFW) |
| Unterstützung für Datensammlungsregeln | Transformations-DCR des Arbeitsbereichs |
| Unterstützt von | Community |
Abfragebeispiele
Alle beendeten Aktionen aus Forcepoint NGFW anzeigen
CommonSecurityLog
| where DeviceVendor == "Forcepoint"
| where DeviceProduct == "NGFW"
| where DeviceAction == "Terminate"
Gesamte Forcepoint NGFW mit mutmaßlichem Kompromittierungsverhalten anzeigen
CommonSecurityLog
| where DeviceVendor == "Forcepoint"
| where DeviceProduct == "NGFW"
| where Activity contains "compromise"
Diagrammgruppierung aller Forcepoint NGFW-Ereignisse nach Aktivitätstyp anzeigen
CommonSecurityLog
| where DeviceVendor == "Forcepoint"
| where DeviceProduct == "NGFW"
| summarize count=count() by Activity
| render barchart
Voraussetzungen
Um die Integration mit [veraltet] Forcepoint NGFW über AMA zu ermöglichen, stellen Sie folgendes sicher:
- ****: Damit Daten von Nicht-Azure-VMs gesammelt werden können, muss auf diesen Azure Arc installiert und aktiviert sein. Weitere Informationen
- ****: Common Event Format (CEF) über AMA und Syslog über AMA-Datenconnectors müssen installiert werden. Weitere Informationen
Installationsanweisungen des Anbieters
Installieren und konfigurieren Sie den Linux-Agent, damit er Ihre CEF-Syslog-Nachrichten (Common Event Format) sammelt und an Microsoft Sentinel weiterleitet.
Beachten Sie, dass die Daten aus allen Regionen im ausgewählten Arbeitsbereich gespeichert werden.
- Sichern Ihres Computers
Stellen Sie sicher, dass Sie die Sicherheit des Computers gemäß der Sicherheitsrichtlinie Ihrer Organisation konfigurieren.
- Installationsleitfaden zur Forcepoint-Integration
Verwenden Sie den folgenden Leitfaden, um die Installation dieser Forcepoint-Produktintegration abzuschließen:
Nächste Schritte
Weitere Informationen finden Sie in der entsprechenden Lösung im Azure Marketplace.