[Déconseillé] Connecteur Forcepoint CSG via l’ancien agent pour Microsoft Sentinel
Forcepoint Cloud Security Gateway est un service de sécurité cloud convergé qui fournit une visibilité, un contrôle et une protection contre les menaces pour les utilisateurs et les données, où qu’ils se trouvent. Pour plus d’informations, consultez : https://www.forcepoint.com/product/cloud-security-gateway
Attributs du connecteur
Attribut du connecteur | Description |
---|---|
Table(s) Log Analytics | CommonSecurityLog (Forcepoint CSG) CommonSecurityLog (Forcepoint CSG) |
Prise en charge des règles de collecte de données | Règles de collecte de données pour la transformation de l’espace de travail |
Pris en charge par | Communauté |
Exemples de requête
Top 5 des domaines web demandés avec une gravité de journal égale à 6 (moyenne)
CommonSecurityLog
| where TimeGenerated <= ago(0m)
| where DeviceVendor == "Forcepoint CSG"
| where DeviceProduct == "Web"
| where LogSeverity == 6
| where DeviceCustomString2 != ""
| summarize Count=count() by DeviceCustomString2
| top 5 by Count
| render piechart
Top 5 des utilisateurs web avec le paramètre « Action » égal à « Bloqué »
CommonSecurityLog
| where TimeGenerated <= ago(0m)
| where DeviceVendor == "Forcepoint CSG"
| where DeviceProduct == "Web"
| where Activity == "Blocked"
| where SourceUserID != "Not available"
| summarize Count=count() by SourceUserID
| top 5 by Count
| render piechart
Top 5 des adresses e-mail d’expéditeur où le score de courrier indésirable est supérieur à 10,0
CommonSecurityLog
| where TimeGenerated <= ago(0m)
| where DeviceVendor == "Forcepoint CSG"
| where DeviceProduct == "Email"
| where DeviceCustomFloatingPoint1 > 10.0
| summarize Count=count() by SourceUserName
| top 5 by Count
| render barchart
Instructions d’installation du fournisseur
- Configuration de l’agent Syslog Linux
Cette intégration nécessite que l’agent Syslog Linux collecte vos journaux web/e-mail Forcepoint Cloud Security Gateway sur le port 514 TCP au format CEF et les transfère à Microsoft Sentinel.
La commande d’installation de l’Agent Syslog du connecteur de données est :
sudo wget -O cef_installer.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/CEF/cef_installer.py&&sudo python cef_installer.py {0} {1}
- Options d’implémentation
L’intégration est disponible avec deux options d’implémentation.
2.1 Implémentation de Docker
Tire parti des images Docker où le composant d’intégration est déjà installé avec toutes les dépendances nécessaires.
Suivez les instructions fournies dans le Guide d’intégration en lien ci-dessous.
2.2 Implémentation traditionnelle
Nécessite le déploiement manuel du composant d’intégration dans une machine Linux propre.
Suivez les instructions fournies dans le Guide d’intégration en lien ci-dessous.
- Valider la connexion
Suivez les instructions pour valider votre connectivité :
Ouvrez Log Analytics pour vous assurer que les journaux sont reçus à l’aide du schéma CommonSecurityLog.
Il faut environ 20 minutes pour que la connexion diffuse des données dans votre espace de travail.
Si les journaux ne sont pas reçus, exécutez le script de validation de connectivité suivant :
- Vérifiez que vous disposez de Python sur votre ordinateur à l’aide de la commande suivante : python -version
- Vous devez disposer d’autorisations élevées (sudo) sur votre machine
Exécutez la commande suivante pour valider votre connectivité :
sudo wget -O cef_troubleshoot.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/CEF/cef_troubleshoot.py&&sudo python cef_troubleshoot.py {0}
- Sécuriser votre machine
Veillez à configurer la sécurité de la machine en fonction de la stratégie de sécurité de votre organisation
Étapes suivantes
Pour plus d’informations, accédez à la solution associée dans la Place de marché Azure.