Compartir a través de


[En desuso] Forcepoint CSG a través del conector del agente heredado para Microsoft Sentinel

Importante

La recopilación de registros de muchos dispositivos y dispositivos ahora es compatible con el formato de evento común (CEF) a través de AMA, Syslog a través de AMA o registros personalizados a través del conector de datos AMA en Microsoft Sentinel. Para más información, consulte Búsqueda del conector de datos de Microsoft Sentinel.

Cloud Security Gateway de Forcepoint es un servicio de seguridad en la nube convergente que proporciona visibilidad, control y protección contra amenazas para los usuarios y los datos, estén donde estén. Para obtener más información, visite https://www.forcepoint.com/product/cloud-security-gateway

Atributos del conector

Atributo del conector Descripción
Tabla de Log Analytics CommonSecurityLog (CSG de Forcepoint)
CommonSecurityLog (CSG de Forcepoint)
Compatibilidad con reglas de recopilación de datos DCR de transformación del área de trabajo
Compatible con Comunidad

Ejemplos de consultas

Los 5 dominios web solicitados principales con una gravedad de registro igual a 6 (media)

CommonSecurityLog

| where TimeGenerated <= ago(0m)

| where DeviceVendor == "Forcepoint CSG"

| where DeviceProduct == "Web"

| where LogSeverity == 6

| where DeviceCustomString2 != ""

| summarize Count=count() by DeviceCustomString2

| top 5 by Count

| render piechart

Los 5 usuarios web principales con "Action" igual a "Blocked"

CommonSecurityLog

| where TimeGenerated <= ago(0m)

| where DeviceVendor == "Forcepoint CSG"

| where DeviceProduct == "Web"

| where Activity == "Blocked"

| where SourceUserID != "Not available"

| summarize Count=count() by SourceUserID

| top 5 by Count

| render piechart

Las 5 direcciones de correo electrónico de emisores principales en los que la puntuación de correo no deseado es superior a 10

CommonSecurityLog

| where TimeGenerated <= ago(0m)

| where DeviceVendor == "Forcepoint CSG"

| where DeviceProduct == "Email"

| where DeviceCustomFloatingPoint1 > 10.0

| summarize Count=count() by SourceUserName

| top 5 by Count

| render barchart

Instrucciones de instalación del proveedor

  1. Configuración del agente de Syslog para Linux

Esta integración requiere que el agente de Syslog de Linux recopile los registros de correo electrónico o web de Cloud Security Gateway de Forcepoint en el puerto 514 TCP como formato de evento común (CEF) y los reenvíe a Microsoft Sentinel.

El comando de instalación del agente Syslog del conector de datos es:

sudo wget -O cef_installer.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/CEF/cef_installer.py&&sudo python cef_installer.py {0} {1}

  1. Opciones de implementación

La integración está disponible con dos opciones de implementación.

2.1 Implementación de Docker

Aprovecha las imágenes de Docker en las que el componente de integración ya está instalado con todas las dependencias necesarias.

Siga las instrucciones proporcionadas en la Guía de integración que verá a continuación.

Guía de integración >

2.2 Implementación tradicional

Requiere la implementación manual del componente de integración dentro de una máquina Linux limpia.

Siga las instrucciones proporcionadas en la Guía de integración que verá a continuación.

Guía de integración >

  1. Validación de la conexión

Siga las instrucciones para validar la conectividad:

Abra Log Analytics para comprobar si los registros se reciben con el esquema CommonSecurityLog.

La conexión tarda unos 20 minutos en empezar a transmitir datos al área de trabajo.

Si no se reciben los registros, ejecute el siguiente script de validación de conectividad:

  1. Asegúrese de tener Python en la máquina con el siguiente comando: python -version
  1. Debe tener permisos elevados (sudo) en la máquina.

Ejecute el comando siguiente para validar la conectividad:

sudo wget -O cef_troubleshoot.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/CEF/cef_troubleshoot.py&&sudo python cef_troubleshoot.py {0}

  1. Proteja la máquina

Asegúrese de configurar la seguridad de la máquina de acuerdo con la directiva de seguridad de su organización.

Obtenga más información >

Pasos siguientes

Para obtener más información, vaya a la solución relacionada en Azure Marketplace.