[En desuso] Forcepoint CSG a través del conector del agente heredado para Microsoft Sentinel
Importante
La recopilación de registros de muchos dispositivos y dispositivos ahora es compatible con el formato de evento común (CEF) a través de AMA, Syslog a través de AMA o registros personalizados a través del conector de datos AMA en Microsoft Sentinel. Para más información, consulte Búsqueda del conector de datos de Microsoft Sentinel.
Cloud Security Gateway de Forcepoint es un servicio de seguridad en la nube convergente que proporciona visibilidad, control y protección contra amenazas para los usuarios y los datos, estén donde estén. Para obtener más información, visite https://www.forcepoint.com/product/cloud-security-gateway
Atributos del conector
Atributo del conector | Descripción |
---|---|
Tabla de Log Analytics | CommonSecurityLog (CSG de Forcepoint) CommonSecurityLog (CSG de Forcepoint) |
Compatibilidad con reglas de recopilación de datos | DCR de transformación del área de trabajo |
Compatible con | Comunidad |
Ejemplos de consultas
Los 5 dominios web solicitados principales con una gravedad de registro igual a 6 (media)
CommonSecurityLog
| where TimeGenerated <= ago(0m)
| where DeviceVendor == "Forcepoint CSG"
| where DeviceProduct == "Web"
| where LogSeverity == 6
| where DeviceCustomString2 != ""
| summarize Count=count() by DeviceCustomString2
| top 5 by Count
| render piechart
Los 5 usuarios web principales con "Action" igual a "Blocked"
CommonSecurityLog
| where TimeGenerated <= ago(0m)
| where DeviceVendor == "Forcepoint CSG"
| where DeviceProduct == "Web"
| where Activity == "Blocked"
| where SourceUserID != "Not available"
| summarize Count=count() by SourceUserID
| top 5 by Count
| render piechart
Las 5 direcciones de correo electrónico de emisores principales en los que la puntuación de correo no deseado es superior a 10
CommonSecurityLog
| where TimeGenerated <= ago(0m)
| where DeviceVendor == "Forcepoint CSG"
| where DeviceProduct == "Email"
| where DeviceCustomFloatingPoint1 > 10.0
| summarize Count=count() by SourceUserName
| top 5 by Count
| render barchart
Instrucciones de instalación del proveedor
- Configuración del agente de Syslog para Linux
Esta integración requiere que el agente de Syslog de Linux recopile los registros de correo electrónico o web de Cloud Security Gateway de Forcepoint en el puerto 514 TCP como formato de evento común (CEF) y los reenvíe a Microsoft Sentinel.
El comando de instalación del agente Syslog del conector de datos es:
sudo wget -O cef_installer.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/CEF/cef_installer.py&&sudo python cef_installer.py {0} {1}
- Opciones de implementación
La integración está disponible con dos opciones de implementación.
2.1 Implementación de Docker
Aprovecha las imágenes de Docker en las que el componente de integración ya está instalado con todas las dependencias necesarias.
Siga las instrucciones proporcionadas en la Guía de integración que verá a continuación.
2.2 Implementación tradicional
Requiere la implementación manual del componente de integración dentro de una máquina Linux limpia.
Siga las instrucciones proporcionadas en la Guía de integración que verá a continuación.
- Validación de la conexión
Siga las instrucciones para validar la conectividad:
Abra Log Analytics para comprobar si los registros se reciben con el esquema CommonSecurityLog.
La conexión tarda unos 20 minutos en empezar a transmitir datos al área de trabajo.
Si no se reciben los registros, ejecute el siguiente script de validación de conectividad:
- Asegúrese de tener Python en la máquina con el siguiente comando: python -version
- Debe tener permisos elevados (sudo) en la máquina.
Ejecute el comando siguiente para validar la conectividad:
sudo wget -O cef_troubleshoot.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/CEF/cef_troubleshoot.py&&sudo python cef_troubleshoot.py {0}
- Proteja la máquina
Asegúrese de configurar la seguridad de la máquina de acuerdo con la directiva de seguridad de su organización.
Pasos siguientes
Para obtener más información, vaya a la solución relacionada en Azure Marketplace.