Conector SonicWall Firewall para Microsoft Sentinel
El formato de evento común (CEF) es un formato estándar del sector sobre mensajes de Syslog, que SonicWall utiliza para permitir la interoperabilidad de eventos entre distintas plataformas. Al conectar los registros CEF a Microsoft Sentinel, puede aprovechar las ventajas del enriquecimiento de búsqueda y correlación, alertas e inteligencia sobre amenazas para cada registro.
Este contenido se genera automáticamente. En relación con los cambios, póngase en contacto con el proveedor de soluciones.
Atributos del conector
| Atributo del conector | Descripción |
|---|---|
| Tabla de Log Analytics | CommonSecurityLog (SonicWall) |
| Compatibilidad con reglas de recopilación de datos | DCR de transformación del área de trabajo |
| Compatible con | SonicWall |
Ejemplos de consultas
Todos los registros
CommonSecurityLog
| where DeviceVendor == "SonicWall"
| sort by TimeGenerated desc
Resumir por dirección IP y puerto de destino
CommonSecurityLog
| where DeviceVendor == "SonicWall"
| summarize count() by DestinationIP, DestinationPort, TimeGenerated
| sort by TimeGenerated desc
Mostrar todo el tráfico descartado de SonicWall Firewall
CommonSecurityLog
| where DeviceVendor == "SonicWall"
| where AdditionalExtensions contains "fw_action='drop'"
Instrucciones de instalación del proveedor
- Configuración del agente de Syslog para Linux
Instale y configure el agente de Linux para recopilar los mensajes de Syslog del formato de evento común (CEF) y reenviarlos a Microsoft Sentinel.
Observe que los datos de todas las regiones se almacenarán en el área de trabajo seleccionada 1.1 Seleccione o cree una máquina Linux.
Seleccione o cree una máquina Linux que Microsoft Sentinel usará como proxy entre la solución de seguridad y Microsoft Sentinel. Dicha máquina puede encontrarse en su entorno local, en Azure o en otras nubes.
1.2. Instalación del recopilador de CEF en la máquina Linux
Instale Microsoft Monitoring Agent en la máquina Linux y configure la máquina para que escuche en el puerto necesario y reenvíe los mensajes al área de trabajo de Microsoft Sentinel. El recopilador CEF recopila mensajes CEF en el puerto TCP 514.
Asegúrese de tener Python en la máquina con el siguiente comando: python -version.
Debe tener permisos elevados (sudo) en la máquina. Ejecute el comando siguiente para instalar y aplicar el recopilador de CEF:
sudo wget -O cef_installer.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/CEF/cef_installer.py&&sudo python cef_installer.py [Workspace ID] [Workspace Primary Key]Reenvío de registros del formato de evento común (CEF) del SonicWall Firewall a un agente de Syslog
Establezca SonicWall Firewall para enviar los mensajes de Syslog en formato CEF a la máquina proxy. Asegúrese de enviar los registros al puerto TCP 514 en la dirección IP de la máquina.
Seguir instrucciones. A continuación, asegúrese de seleccionar el uso local 4 como recurso. A continuación, seleccione ArcSight como el formato de Syslog.
Validación de la conexión
Siga las instrucciones para validar la conectividad:
Abra Log Analytics para comprobar si los registros se reciben con el esquema CommonSecurityLog.
La conexión tarda unos 20 minutos en empezar a transmitir datos al área de trabajo. Si no se reciben los registros, ejecute el siguiente script de validación de conectividad:
Asegúrese de tener Python en la máquina con el siguiente comando: python -version
Debe tener permisos elevados (sudo) en la máquina Ejecute el siguiente comando para validar la conectividad:
sudo wget -O cef_troubleshoot.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/CEF/cef_troubleshoot.py&&sudo python cef_troubleshoot.py [Workspace ID]Proteja la máquina
Asegúrese de configurar la seguridad de la máquina de acuerdo con la directiva de seguridad de su organización.
Pasos siguientes
Para obtener más información, vaya a la solución relacionada en Azure Marketplace.