[Elavult] Forcepoint CSG a Microsoft Sentinel örökölt ügynök-összekötőjén keresztül
Fontos
A sok készülékről és eszközről származó naplógyűjtést mostantól támogatja a Common Event Format (CEF) az AMA-n, a Syslogon keresztül az AMA-n vagy az egyéni naplókon keresztül a Microsoft Sentinel AMA-adatösszekötőn keresztül. További információért lásd: A Microsoft Sentinel-adatösszekötő megkeresése.
A Forcepoint Cloud Security Gateway egy konvergens felhőbiztonsági szolgáltatás, amely láthatóságot, vezérlést és fenyegetésvédelmet biztosít a felhasználók és az adatok számára, bárhol is legyenek. További információkért látogasson el: https://www.forcepoint.com/product/cloud-security-gateway
Összekötő attribútumai
| Összekötő attribútum | Leírás |
|---|---|
| Log Analytics-tábla(ok) | CommonSecurityLog (Forcepoint CSG) CommonSecurityLog (Forcepoint CSG) |
| Adatgyűjtési szabályok támogatása | Munkaterület-átalakítás – DCR |
| Támogatja: | Közösség |
Példák lekérdezésekre
Az 5 legjobb webkérezdens tartomány, amelynek naplózási súlyossága 6 (közepes)
CommonSecurityLog
| where TimeGenerated <= ago(0m)
| where DeviceVendor == "Forcepoint CSG"
| where DeviceProduct == "Web"
| where LogSeverity == 6
| where DeviceCustomString2 != ""
| summarize Count=count() by DeviceCustomString2
| top 5 by Count
| render piechart
Az 5 legjobb webfelhasználó, a "Művelet" értéke "Letiltva"
CommonSecurityLog
| where TimeGenerated <= ago(0m)
| where DeviceVendor == "Forcepoint CSG"
| where DeviceProduct == "Web"
| where Activity == "Blocked"
| where SourceUserID != "Not available"
| summarize Count=count() by SourceUserID
| top 5 by Count
| render piechart
Az 5 legjobb feladói e-mail-cím, ahol a levélszemét pontszáma nagyobb, mint 10,0
CommonSecurityLog
| where TimeGenerated <= ago(0m)
| where DeviceVendor == "Forcepoint CSG"
| where DeviceProduct == "Email"
| where DeviceCustomFloatingPoint1 > 10.0
| summarize Count=count() by SourceUserName
| top 5 by Count
| render barchart
Szállító telepítési útmutatója
- Linux Syslog-ügynök konfigurálása
Ehhez az integrációhoz a Linux Syslog-ügynöknek kell összegyűjtenie a Forcepoint Cloud Security Gateway webes/e-mail naplóit az 514-as TCP-porton, mint common event format (CEF), és továbbítania kell őket a Microsoft Sentinelnek.
A Data Connector Syslog Agent telepítési parancsa a következő:
sudo wget -O cef_installer.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/CEF/cef_installer.py&&sudo python cef_installer.py {0} {1}
- Implementálási lehetőségek
Az integráció két megvalósítási lehetőséggel érhető el.
2.1 Docker-implementáció
Olyan Docker-rendszerképeket használ, ahol az integrációs összetevő már telepítve van az összes szükséges függőséggel.
Kövesse az alábbi integrációs útmutató utasításait.
2.2 Hagyományos megvalósítás
Az integrációs összetevő manuális üzembe helyezését igényli egy tiszta Linux-gépen belül.
Kövesse az alábbi integrációs útmutató utasításait.
- Kapcsolat ellenőrzése
Kövesse az utasításokat a kapcsolat ellenőrzéséhez:
Nyissa meg a Log Analyticst annak ellenőrzéséhez, hogy a naplók a CommonSecurityLog sémával érkeznek-e.
Ez körülbelül 20 percet vehet igénybe, amíg a kapcsolat adatokat továbbít a munkaterületre.
Ha a naplók nem érkeztek meg, futtassa a következő kapcsolatérvényesítési szkriptet:
- Győződjön meg arról, hogy a számítógépen a Python a következő paranccsal található: python -version
- Emelt szintű engedélyekkel (sudo) kell rendelkeznie a gépen
Futtassa a következő parancsot a kapcsolat ellenőrzéséhez:
sudo wget -O cef_troubleshoot.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/CEF/cef_troubleshoot.py&&sudo python cef_troubleshoot.py {0}
- A gép védelme
Győződjön meg arról, hogy a gép biztonságát a szervezet biztonsági szabályzata szerint konfigurálja
Következő lépések
További információ: a kapcsolódó megoldás az Azure Marketplace-en.