[Ajánlott] A MICROSOFT Sentinelhez készült AMA-összekötőn keresztüli CASB kényszerítése
A Forcepoint CASB (Cloud Access Security Broker) Csatlakozás or lehetővé teszi a CASB-naplók és események automatikus exportálását a Microsoft Sentinelbe valós időben. Ez növeli a felhasználói tevékenységek láthatóságát a helyeken és a felhőalkalmazásokban, további korrelációt tesz lehetővé az Azure-számítási feladatokból és más hírcsatornákból származó adatokkal, és javítja a Microsoft Sentinel munkafüzeteivel való monitorozási képességet.
Csatlakozás or attribútumok
| Csatlakozás or attribútum | Leírás |
|---|---|
| Log Analytics-tábla(ok) | CommonSecurityLog (ForcepointCASB) |
| Adatgyűjtési szabályok támogatása | Azure Monitor Agent DCR |
| Támogatja: | Közösség |
Példák lekérdezésekre
Az 5 legnagyobb számú naplóval rendelkező felhasználó
CommonSecurityLog
| summarize Count = count() by DestinationUserName
| top 5 by DestinationUserName
| render barchart
**Az 5 legjobb felhasználó a sikertelen kísérletek száma szerint **
CommonSecurityLog
| extend outcome = coalesce(column_ifexists("EventOutcome", ""), tostring(split(split(AdditionalExtensions, ";", 2)[0], "=", 1)[0]), "")
| extend reason = coalesce(column_ifexists("Reason", ""), tostring(split(split(AdditionalExtensions, ";", 3)[0], "=", 1)[0]), "")
| where outcome =="Failure"
| summarize Count= count() by DestinationUserName
| render barchart
Előfeltételek
Ha az [Ajánlott] Forcepoint CASB-val szeretne integrálni az AMA-n keresztül, győződjön meg arról, hogy rendelkezik a következőkkel:
- : Ha nem Azure-beli virtuális gépekről szeretne adatokat gyűjteni, telepítenie és engedélyeznie kell az Azure Arcot. További információ
- : Az AMA-n és a Syslogon keresztüli közös eseményformátumot (CEF) az AMA-adatösszekötőken keresztül telepíteni kell További információ
Szállító telepítési útmutatója
Telepítse és konfigurálja a Linux-ügynököt, hogy összegyűjtse a Common Event Format (CEF) Syslog-üzeneteket, és továbbítsa őket a Microsoft Sentinelnek.
Figyelje meg, hogy az összes régió adatai a kijelölt munkaterületen lesznek tárolva
- A gép védelme
Győződjön meg arról, hogy a gép biztonságát a szervezet biztonsági szabályzata szerint konfigurálja
- A ForcePoint integrációs telepítési útmutatója
A Forcepoint-termékintegráció telepítésének befejezéséhez kövesse az alábbi útmutatót.
Következő lépések
További információ: a kapcsolódó megoldás az Azure Marketplace-en.
Visszajelzés
Hamarosan elérhető: 2024-ben fokozatosan kivezetjük a GitHub-problémákat a tartalom visszajelzési mechanizmusaként, és lecseréljük egy új visszajelzési rendszerre. További információ: https://aka.ms/ContentUserFeedback.
Visszajelzés küldése és megtekintése a következőhöz: