Partager via


[Déconseillé] Forcepoint NGFW via le connecteur de l’ancien agent pour Microsoft Sentinel

Important

La collecte de journaux dans un grand nombre d’appliances et d’appareils est désormais prise en charge par le CEF (Common Event Format) via AMA, Syslog via AMA ou les journaux personnalisés via le connecteur de données AMA dans Microsoft Sentinel. Pour plus d’informations, consultez Rechercher votre connecteur de données Microsoft Sentinel.

Le connecteur Forcepoint NGFW (Next Generation Firewall) vous permet d’exporter automatiquement les journaux Forcepoint NGFW définis par l’utilisateur dans Microsoft Sentinel en temps réel. Cette fonctionnalité enrichit la visibilité des activités des utilisateurs enregistrées par NGFW, permet une corrélation supplémentaire avec les données des charges de travail Azure et d'autres flux, et améliore la capacité de supervision avec les Workbooks dans Microsoft Sentinel.

Attributs du connecteur

Attribut du connecteur Description
Table(s) Log Analytics CommonSecurityLog (ForcePointNGFW)
Prise en charge des règles de collecte de données Règles de collecte de données pour la transformation de l’espace de travail
Pris en charge par Communauté

Exemples de requête

Afficher toutes les actions terminées à partir de Forcepoint NGFW


CommonSecurityLog

| where DeviceVendor == "Forcepoint"

| where DeviceProduct == "NGFW"

| where DeviceAction == "Terminate"

Afficher tous les Forcepoint NGFW avec un comportement compromettant suspecté


CommonSecurityLog

| where DeviceVendor == "Forcepoint"

| where DeviceProduct == "NGFW"

| where Activity contains "compromise"

Afficher le diagramme de regroupement de tous les événements Forcepoint NGFW par type d’activité


CommonSecurityLog

| where DeviceVendor == "Forcepoint"

| where DeviceProduct == "NGFW"

| summarize count=count() by Activity

| render barchart

Instructions d’installation du fournisseur

  1. Configuration de l’agent Syslog Linux

Installez et configurez l’agent Linux pour collecter vos messages Syslog au format CEF (Common Event Format) et les transférer à Microsoft Sentinel.

Notez que les données de toutes les régions seront stockées dans l’espace de travail sélectionné

1.1 Sélectionner ou créer une machine Linux

Sélectionnez ou créez une machine Linux qui sera utilisée par Microsoft Sentinel comme proxy entre votre solution de sécurité et Microsoft Sentinel. Cette machine peut se trouver dans votre environnement local, dans Azure ou dans d’autres clouds.

1.2 Installer le collecteur CEF sur la machine Linux

Installez Microsoft Monitoring Agent sur votre ordinateur Linux et configurez l’ordinateur pour écouter sur le port nécessaire et transférer les messages vers votre espace de travail Microsoft Sentinel. Le collecteur CEF collecte les messages CEF sur le port 514 TCP.

  1. Vérifiez que vous disposez de Python sur votre ordinateur à l’aide de la commande suivante : python -version.
  1. Vous devez disposer d’autorisations élevées (sudo) sur votre machine.

Exécutez la commande suivante pour installer et appliquer le collecteur CEF :

sudo wget -O cef_installer.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/CEF/cef_installer.py&&sudo python cef_installer.py {0} {1}

  1. Transférer les journaux d’activité au format CEF vers l'agent Syslog

Configurez votre solution de sécurité de façon à pouvoir envoyer des messages Syslog au format CEF à la machine proxy. Veillez à envoyer les journaux au port TCP 514 à l’adresse IP de la machine.

  1. Valider la connexion

Suivez les instructions pour valider votre connectivité :

Ouvrez Log Analytics pour vous assurer que les journaux sont reçus à l’aide du schéma CommonSecurityLog.

Il faut environ 20 minutes pour que la connexion diffuse des données dans votre espace de travail.

Si les journaux ne sont pas reçus, exécutez le script de validation de connectivité suivant :

  1. Vérifiez que Python est installé sur votre ordinateur à l’aide de la commande suivante : python - version
  1. Vous devez disposer d’autorisations élevées (sudo) sur votre machine

Exécutez la commande suivante pour valider votre connectivité :

sudo wget -O cef_troubleshoot.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/CEF/cef_troubleshoot.py&&sudo python cef_troubleshoot.py {0}

  1. Sécuriser votre machine

Veillez à configurer la sécurité de la machine en fonction de la stratégie de sécurité de votre organisation

En savoir plus >

  1. Guide d’installation de l’intégration Forcepoint

Pour finaliser l’installation de cette intégration de produit Forcepoint, suivez le guide disponible au lien ci-dessous.

Guide d’installation >

Étapes suivantes

Pour plus d’informations, accédez à la solution associée dans la Place de marché Azure.