[Recomendado] Forcepoint CASB mediante conector AMA para Microsoft Sentinel
El conector Forcepoint CASB (agente de seguridad de acceso a la nube) permite exportar automáticamente eventos y registros de CASB a Microsoft Sentinel en tiempo real. Esto enriquece la visibilidad de las actividades de los usuarios en todas las ubicaciones y aplicaciones en la nube, permite una mayor correlación con los datos de las cargas de trabajo de Azure y otras fuentes, y mejora la capacidad de supervisión con los libros en Microsoft Sentinel.
Atributos del conector
Atributo del conector | Descripción |
---|---|
Tabla de Log Analytics | CommonSecurityLog (ForcepointCASB) |
Soporte de reglas de recopilación de datos | DCR del agente de Azure Monitor |
Compatible con | Comunidad |
Ejemplos de consultas
Principales 5 usuarios con mayor número de registros
CommonSecurityLog
| summarize Count = count() by DestinationUserName
| top 5 by DestinationUserName
| render barchart
**Principales 5 usuarios según el número de intentos erróneos **
CommonSecurityLog
| extend outcome = coalesce(column_ifexists("EventOutcome", ""), tostring(split(split(AdditionalExtensions, ";", 2)[0], "=", 1)[0]), "")
| extend reason = coalesce(column_ifexists("Reason", ""), tostring(split(split(AdditionalExtensions, ";", 3)[0], "=", 1)[0]), "")
| where outcome =="Failure"
| summarize Count= count() by DestinationUserName
| render barchart
Requisitos previos
Para integrar con [Recomendado] Forcepoint CASB a través de AMA asegúrese de que tiene:
- ****: para recopilar datos de máquinas virtuales que no son de Azure, deben tener Azure Arc instalado y habilitado. Más información
- ****: Deben estar instalados los conectores de datos Formato de evento común (CEF) a través de AMA y Syslog a través de AMA. Más información
Instrucciones de instalación del proveedor
Instale y configure el agente de Linux para recopilar los mensajes de Syslog con el formato de evento común (CEF) y reenviarlos a Microsoft Sentinel.
Tenga en cuenta que los datos de todas las regiones se almacenarán en el área de trabajo seleccionada.
- Proteja la máquina
Asegúrese de configurar la seguridad de la máquina de acuerdo con la directiva de seguridad de su organización.
- Guía de instalación de la integración de Forcepoint
Para completar la instalación de esta integración de producto Forcepoint, siga la guía vinculada a continuación.
Pasos siguientes
Para obtener más información, vaya a la solución relacionada en Azure Marketplace.
Comentarios
https://aka.ms/ContentUserFeedback.
Próximamente: A lo largo de 2024 iremos eliminando gradualmente GitHub Issues como mecanismo de comentarios sobre el contenido y lo sustituiremos por un nuevo sistema de comentarios. Para más información, vea:Enviar y ver comentarios de