Megosztás a következőn keresztül:

[Elavult] Sophos XG Firewall-összekötő a Microsoft Sentinelhez

  • Cikk

Fontos

A sok készülékről és eszközről származó naplógyűjtést mostantól támogatja a Common Event Format (CEF) az AMA-n, a Syslogon keresztül az AMA-n vagy az egyéni naplókon keresztül a Microsoft Sentinel AMA-adatösszekötőn keresztül. További információért lásd: A Microsoft Sentinel-adatösszekötő megkeresése.

A Sophos XG tűzfal lehetővé teszi a Sophos XG-tűzfal naplóinak a Microsoft Sentinelhez való egyszerű csatlakoztatását, irányítópultok megtekintését, egyéni riasztások létrehozását és a vizsgálatok javítását. A Sophos XG Firewall és a Microsoft Sentinel integrálása nagyobb betekintést nyújt a szervezet tűzfalforgalmába, és növeli a biztonsági monitorozási képességeket.

Ez automatikusan létrehozott tartalom. A módosításokért forduljon a megoldásszolgáltatóhoz.

Összekötő attribútumai

Összekötő attribútum Leírás
Log Analytics-tábla(ok) Syslog (SophosXGFirewall)
Adatgyűjtési szabályok támogatása Munkaterület-átalakítás – DCR
Támogatja: Microsoft Corporation

Példák lekérdezésekre

A 10 leggyakoribb megtagadott forrás IP-cím

SophosXGFirewall 

| where Log_Type == "Firewall" and Status == "Deny" 

| summarize count() by Src_IP 

| top 10 by count_

A 10 legjobb megtagadott cél IP-cím

SophosXGFirewall 

| where Log_Type == "Firewall" and Status == "Deny" 

| summarize count() by Dst_IP 

| top 10 by count_

Előfeltételek

Az [Elavult] Sophos XG tűzfallal való integrációhoz győződjön meg arról, hogy a következőkkel rendelkezik:

  • Sophos XG firewall: konfigurálva kell lennie a naplók Syslogon keresztüli exportálásához

Szállító telepítési útmutatója

Feljegyzés

Ez az adatösszekötő egy Kusto-függvényen alapuló elemzőtől függ, amely a megoldás részeként üzembe helyezett elvárt módon működik. A Log Analytics függvénykódjának megtekintéséhez nyissa meg a Log Analytics/Microsoft Sentinel Naplók panelt, kattintson a Függvények elemre, és keresse meg a Sophos XG Tűzfal aliast, és töltse be a függvénykódot, vagy kattintson ide, a lekérdezés második sorában adja meg a Sophos XG-tűzfal eszköz(ek) állomásnevét és a naplóstream egyéb egyedi azonosítóit. A függvény aktiválása általában 10–15 percet vesz igénybe a megoldás telepítése/frissítése után.

  1. Az ügynök telepítése és előkészítése Linuxhoz

Az ügynököt általában egy másik számítógépre kell telepítenie, mint amelyiken a naplók létrejönnek.

A syslog-naplók csak Linux-ügynököktől gyűjthetők.

  1. A gyűjtendő naplók konfigurálása

Konfigurálja a gyűjtendő létesítményeket és azok súlyosságát.

  1. A munkaterület speciális beállításainak konfigurációja területen válassza az Adatok , majd a Syslog lehetőséget.

  2. Válassza az Alábbi konfiguráció alkalmazása a gépeimre lehetőséget, és válassza ki a létesítményeket és súlyosságokat.

  3. Kattintson a Mentés gombra.

  4. A Sophos XG tűzfal konfigurálása és csatlakoztatása

Kövesse az alábbi utasításokat a syslog-stream engedélyezéséhez. Használja a Linux-eszköz IP-címét vagy gazdagépnevét a Cél IP-címként telepített Linux-ügynökkel.

Következő lépések

További információ: a kapcsolódó megoldás az Azure Marketplace-en.