[Elavult] A MICROSOFT Sentinelhez készült AMA-összekötőn keresztüli CASB kényszerítése
Fontos
A sok készülékről és eszközről származó naplógyűjtést mostantól támogatja a Common Event Format (CEF) az AMA-n, a Syslogon keresztül az AMA-n vagy az egyéni naplókon keresztül a Microsoft Sentinel AMA-adatösszekötőn keresztül. További információért lásd: A Microsoft Sentinel-adatösszekötő megkeresése.
A Forcepoint CASB (Cloud Access Security Broker) összekötő lehetővé teszi a CASB-naplók és események automatikus exportálását a Microsoft Sentinelbe valós időben. Ez növeli a felhasználói tevékenységek láthatóságát a helyeken és a felhőalkalmazásokban, további korrelációt tesz lehetővé az Azure-számítási feladatokból és más hírcsatornákból származó adatokkal, és javítja a Microsoft Sentinel munkafüzeteivel való monitorozási képességet.
Ez automatikusan létrehozott tartalom. A módosításokért forduljon a megoldásszolgáltatóhoz.
Összekötő attribútumai
| Összekötő attribútum | Leírás |
|---|---|
| Log Analytics-tábla(ok) | CommonSecurityLog (ForcepointCASB) |
| Adatgyűjtési szabályok támogatása | Munkaterület-átalakítás – DCR |
| Támogatja: | Közösség |
Példák lekérdezésekre
Az 5 legnagyobb számú naplóval rendelkező felhasználó
CommonSecurityLog
| summarize Count = count() by DestinationUserName
| top 5 by DestinationUserName
| render barchart
**Az 5 legjobb felhasználó a sikertelen kísérletek száma szerint **
CommonSecurityLog
| extend outcome = coalesce(column_ifexists("EventOutcome", ""), tostring(split(split(AdditionalExtensions, ";", 2)[0], "=", 1)[0]), "")
| extend reason = coalesce(column_ifexists("Reason", ""), tostring(split(split(AdditionalExtensions, ";", 3)[0], "=", 1)[0]), "")
| where outcome =="Failure"
| summarize Count= count() by DestinationUserName
| render barchart
Előfeltételek
Ha az [Elavult] Forcepoint CASB-val szeretne integrálni az AMA-n keresztül, győződjön meg arról, hogy a következőkkel rendelkezik:
- : Ha nem Azure-beli virtuális gépekről szeretne adatokat gyűjteni, telepítenie és engedélyeznie kell az Azure Arcot. További információ
- : Az AMA-n és a Syslogon keresztüli közös eseményformátumot (CEF) az AMA-adatösszekötőken keresztül telepíteni kell További információ
Szállító telepítési útmutatója
Telepítse és konfigurálja a Linux-ügynököt, hogy összegyűjtse a Common Event Format (CEF) Syslog-üzeneteket, és továbbítsa őket a Microsoft Sentinelnek.
Figyelje meg, hogy az összes régió adatai a kijelölt munkaterületen lesznek tárolva
- A gép védelme
Győződjön meg arról, hogy a gép biztonságát a szervezet biztonsági szabályzata szerint konfigurálja
- A ForcePoint integrációs telepítési útmutatója
A Forcepoint-termékintegráció telepítésének befejezéséhez kövesse az alábbi útmutatót.
Következő lépések
További információ: a kapcsolódó megoldás az Azure Marketplace-en.