[Recomendado] Forcepoint CSG a través del conector AMA para Microsoft Sentinel
Cloud Security Gateway de Forcepoint es un servicio de seguridad en la nube convergente que proporciona visibilidad, control y protección contra amenazas para los usuarios y los datos, estén donde estén. Para obtener más información, visite https://www.forcepoint.com/product/cloud-security-gateway
Atributos del conector
Atributo del conector | Descripción |
---|---|
Tabla de Log Analytics | CommonSecurityLog (CSG de Forcepoint) CommonSecurityLog (CSG de Forcepoint) |
Soporte de reglas de recopilación de datos | DCR del agente de Azure Monitor |
Compatible con | Comunidad |
Ejemplos de consultas
Los 5 dominios web solicitados principales con una gravedad de registro igual a 6 (media)
CommonSecurityLog
| where TimeGenerated <= ago(0m)
| where DeviceVendor == "Forcepoint CSG"
| where DeviceProduct == "Web"
| where LogSeverity == 6
| where DeviceCustomString2 != ""
| summarize Count=count() by DeviceCustomString2
| top 5 by Count
| render piechart
Los 5 usuarios web principales con "Action" igual a "Blocked"
CommonSecurityLog
| where TimeGenerated <= ago(0m)
| where DeviceVendor == "Forcepoint CSG"
| where DeviceProduct == "Web"
| where Activity == "Blocked"
| where SourceUserID != "Not available"
| summarize Count=count() by SourceUserID
| top 5 by Count
| render piechart
Las 5 direcciones de correo electrónico de emisores principales en los que la puntuación de correo no deseado es superior a 10
CommonSecurityLog
| where TimeGenerated <= ago(0m)
| where DeviceVendor == "Forcepoint CSG"
| where DeviceProduct == "Email"
| where DeviceCustomFloatingPoint1 > 10.0
| summarize Count=count() by SourceUserName
| top 5 by Count
| render barchart
Requisitos previos
Para integrar con [Recomendado] Forcepoint CSG a través de AMA, asegúrese de que tiene:
- ****: para recopilar datos de máquinas virtuales que no son de Azure, deben tener Azure Arc instalado y habilitado. Más información
- ****: Deben estar instalados los conectores de datos Formato de evento común (CEF) a través de AMA y Syslog a través de AMA. Más información
Instrucciones de instalación del proveedor
- Proteja la máquina
Asegúrese de configurar la seguridad de la máquina de acuerdo con la directiva de seguridad de su organización.
Pasos siguientes
Para obtener más información, vaya a la solución relacionada en Azure Marketplace.
Comentarios
https://aka.ms/ContentUserFeedback.
Próximamente: A lo largo de 2024 iremos eliminando gradualmente GitHub Issues como mecanismo de comentarios sobre el contenido y lo sustituiremos por un nuevo sistema de comentarios. Para más información, vea:Enviar y ver comentarios de