[Elavult] SonicWall Firewall-összekötő a Microsoft Sentinelhez
Fontos
A sok készülékről és eszközről származó naplógyűjtést mostantól támogatja a Common Event Format (CEF) az AMA-n, a Syslogon keresztül az AMA-n vagy az egyéni naplókon keresztül a Microsoft Sentinel AMA-adatösszekötőn keresztül. További információért lásd: A Microsoft Sentinel-adatösszekötő megkeresése.
A Common Event Format (CEF) egy iparági szabványformátum a Syslog-üzeneteken, amelyet a SonicWall használ a különböző platformok közötti esemény-együttműködés engedélyezésére. A CEF-naplók Microsoft Sentinelhez való csatlakoztatásával kihasználhatja az egyes naplók keresési és riasztási és fenyegetésintelligencia-bővítési előnyeit.
Ez automatikusan létrehozott tartalom. A módosításokért forduljon a megoldásszolgáltatóhoz.
Összekötő attribútumai
| Összekötő attribútum | Leírás |
|---|---|
| Log Analytics-tábla(ok) | CommonSecurityLog (SonicWall) |
| Adatgyűjtési szabályok támogatása | Munkaterület-átalakítás – DCR |
| Támogatja: | SonicWall |
Példák lekérdezésekre
Minden napló
CommonSecurityLog
| where DeviceVendor == "SonicWall"
| sort by TimeGenerated desc
Összegzés cél IP-címe és portja szerint
CommonSecurityLog
| where DeviceVendor == "SonicWall"
| summarize count() by DestinationIP, DestinationPort, TimeGenerated
| sort by TimeGenerated desc
Az összes elvetett forgalom megjelenítése a SonicWall tűzfalról
CommonSecurityLog
| where DeviceVendor == "SonicWall"
| where AdditionalExtensions contains "fw_action='drop'"
Szállító telepítési útmutatója
- Linux Syslog-ügynök konfigurálása
Telepítse és konfigurálja a Linux-ügynököt, hogy összegyűjtse a Common Event Format (CEF) Syslog-üzeneteket, és továbbítsa őket a Microsoft Sentinelnek.
Figyelje meg, hogy az összes régió adatai a kijelölt munkaterületen lesznek tárolva 1.1 Linux-gép kiválasztása vagy létrehozása.
Válasszon vagy hozzon létre egy Linux rendszerű gépet, amelyet a Microsoft Sentinel a biztonsági megoldás és a Microsoft Sentinel közötti proxyként használ, és ez a gép a helyszíni környezetben, az Azure-ban vagy más felhőkben is lehet.
1.2 A CEF-gyűjtő telepítése a Linux-gépen
Telepítse a Microsoft Monitoring Agentet a Linux rendszerű gépére, és konfigurálja a gépet a szükséges port figyelésére, és küldje el az üzeneteket a Microsoft Sentinel-munkaterületre. A CEF-gyűjtő cef-üzeneteket gyűjt az 514-ös TCP-porton.
Győződjön meg arról, hogy a python a gépén a következő paranccsal van telepítve: python -version.
Emelt szintű engedélyekkel (sudo) kell rendelkeznie a gépen. Futtassa a következő parancsot a CEF-gyűjtő telepítéséhez és alkalmazásához:
sudo wget -O cef_installer.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/CEF/cef_installer.py&&sudo python cef_installer.py [Workspace ID] [Workspace Primary Key]SonicWall Firewall Common Event Format (CEF) naplóinak továbbítása a Syslog-ügynöknek
Állítsa be a SonicWall tűzfalat, hogy CEF formátumban küldjön Syslog-üzeneteket a proxygépnek. Győződjön meg arról, hogy a naplókat a gép IP-címén lévő 514-ös TCP-portra küldi.
Kövesse az utasításokat. Ezután győződjön meg arról, hogy a helyi 4-et választja létesítményként. Ezután válassza az ArcSightot Syslog formátumként.
Kapcsolat ellenőrzése
Kövesse az utasításokat a kapcsolat ellenőrzéséhez:
Nyissa meg a Log Analyticst annak ellenőrzéséhez, hogy a naplók a CommonSecurityLog sémával érkeznek-e.
Ez körülbelül 20 percet vehet igénybe, amíg a kapcsolat adatokat továbbít a munkaterületre. Ha a naplók nem érkeztek meg, futtassa a következő kapcsolatérvényesítési szkriptet:
Győződjön meg arról, hogy a számítógépen a Python a következő paranccsal található: python -version
A kapcsolat ellenőrzéséhez emelt szintű engedélyekkel (sudo) kell rendelkeznie a számítógépen. A kapcsolat ellenőrzéséhez futtassa a következő parancsot:
sudo wget -O cef_troubleshoot.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/CEF/cef_troubleshoot.py&&sudo python cef_troubleshoot.py [Workspace ID]A gép védelme
Győződjön meg arról, hogy a gép biztonságát a szervezet biztonsági szabályzatának megfelelően konfigurálja.
Következő lépések
További információ: a kapcsolódó megoldás az Azure Marketplace-en.