[Elavult] Forcepoint CSG a Microsoft Sentinel AMA-összekötőjén keresztül
Fontos
A sok készülékről és eszközről származó naplógyűjtést mostantól támogatja a Common Event Format (CEF) az AMA-n, a Syslogon keresztül az AMA-n vagy az egyéni naplókon keresztül a Microsoft Sentinel AMA-adatösszekötőn keresztül. További információért lásd: A Microsoft Sentinel-adatösszekötő megkeresése.
A Forcepoint Cloud Security Gateway egy konvergens felhőbiztonsági szolgáltatás, amely láthatóságot, vezérlést és fenyegetésvédelmet biztosít a felhasználók és az adatok számára, bárhol is legyenek. További információkért látogasson el: https://www.forcepoint.com/product/cloud-security-gateway
Ez automatikusan létrehozott tartalom. A módosításokért forduljon a megoldásszolgáltatóhoz.
Összekötő attribútumai
| Összekötő attribútum | Leírás |
|---|---|
| Log Analytics-tábla(ok) | CommonSecurityLog (Forcepoint CSG) CommonSecurityLog (Forcepoint CSG) |
| Adatgyűjtési szabályok támogatása | Munkaterület-átalakítás – DCR |
| Támogatja: | Közösség |
Példák lekérdezésekre
Az 5 legjobb webkérezdens tartomány, amelynek naplózási súlyossága 6 (közepes)
CommonSecurityLog
| where TimeGenerated <= ago(0m)
| where DeviceVendor == "Forcepoint CSG"
| where DeviceProduct == "Web"
| where LogSeverity == 6
| where DeviceCustomString2 != ""
| summarize Count=count() by DeviceCustomString2
| top 5 by Count
| render piechart
Az 5 legjobb webfelhasználó, a "Művelet" értéke "Letiltva"
CommonSecurityLog
| where TimeGenerated <= ago(0m)
| where DeviceVendor == "Forcepoint CSG"
| where DeviceProduct == "Web"
| where Activity == "Blocked"
| where SourceUserID != "Not available"
| summarize Count=count() by SourceUserID
| top 5 by Count
| render piechart
Az 5 legjobb feladói e-mail-cím, ahol a levélszemét pontszáma nagyobb, mint 10,0
CommonSecurityLog
| where TimeGenerated <= ago(0m)
| where DeviceVendor == "Forcepoint CSG"
| where DeviceProduct == "Email"
| where DeviceCustomFloatingPoint1 > 10.0
| summarize Count=count() by SourceUserName
| top 5 by Count
| render barchart
Előfeltételek
Ha az [Elavult] Forcepoint CSG-vel szeretne integrálni az AMA-n keresztül, győződjön meg arról, hogy a következőkkel rendelkezik:
- : Ha nem Azure-beli virtuális gépekről szeretne adatokat gyűjteni, telepítenie és engedélyeznie kell az Azure Arcot. További információ
- : Az AMA-n és a Syslogon keresztüli közös eseményformátumot (CEF) az AMA-adatösszekötőken keresztül telepíteni kell További információ
Szállító telepítési útmutatója
- A gép védelme
Győződjön meg arról, hogy a gép biztonságát a szervezet biztonsági szabályzata szerint konfigurálja
Következő lépések
További információ: a kapcsolódó megoldás az Azure Marketplace-en.