[Ajánlott] Forcepoint NGFW a Microsoft Sentinel AMA-összekötőjén keresztül
A Forcepoint NGFW (Következő generációs tűzfal) összekötő lehetővé teszi a felhasználó által definiált Forcepoint NGFW-naplók valós idejű exportálását a Microsoft Sentinelbe. Ez növeli az NGFW által rögzített felhasználói tevékenységek láthatóságát, lehetővé teszi az Azure-számítási feladatok és egyéb hírcsatornák adataival való további korrelációt, és javítja a Microsoft Sentinel munkafüzeteivel való monitorozási képességet.
Csatlakozás or attribútumok
| Csatlakozás or attribútum | Leírás |
|---|---|
| Log Analytics-tábla(ok) | CommonSecurityLog (ForcePointNGFW) |
| Adatgyűjtési szabályok támogatása | Azure Monitor Agent DCR |
| Támogatja: | Közösség |
Példák lekérdezésekre
A Forcepoint NGFW összes leállított műveletének megjelenítése
CommonSecurityLog
| where DeviceVendor == "Forcepoint"
| where DeviceProduct == "NGFW"
| where DeviceAction == "Terminate"
Az összes Forcepoint NGFW megjelenítése feltételezett kompromisszumos viselkedéssel
CommonSecurityLog
| where DeviceVendor == "Forcepoint"
| where DeviceProduct == "NGFW"
| where Activity contains "compromise"
Az összes Forcepoint NGFW-eseményt tevékenységtípus szerint csoportosító diagram megjelenítése
CommonSecurityLog
| where DeviceVendor == "Forcepoint"
| where DeviceProduct == "NGFW"
| summarize count=count() by Activity
| render barchart
Előfeltételek
Ha az [Ajánlott] Forcepoint NGFW-vel szeretne integrálni az AMA-n keresztül, győződjön meg arról, hogy rendelkezik a következőkkel:
- : Ha nem Azure-beli virtuális gépekről szeretne adatokat gyűjteni, telepítenie és engedélyeznie kell az Azure Arcot. További információ
- : Az AMA-n és a Syslogon keresztüli közös eseményformátumot (CEF) az AMA-adatösszekötőken keresztül telepíteni kell További információ
Szállító telepítési útmutatója
Telepítse és konfigurálja a Linux-ügynököt, hogy összegyűjtse a Common Event Format (CEF) Syslog-üzeneteket, és továbbítsa őket a Microsoft Sentinelnek.
Figyelje meg, hogy az összes régió adatai a kijelölt munkaterületen lesznek tárolva
- A gép védelme
Győződjön meg arról, hogy a gép biztonságát a szervezet biztonsági szabályzata szerint konfigurálja
- A ForcePoint integrációs telepítési útmutatója
A Forcepoint-termékintegráció telepítésének befejezéséhez kövesse az alábbi útmutatót.
Következő lépések
További információ: a kapcsolódó megoldás az Azure Marketplace-en.
Visszajelzés
Hamarosan elérhető: 2024-ben fokozatosan kivezetjük a GitHub-problémákat a tartalom visszajelzési mechanizmusaként, és lecseréljük egy új visszajelzési rendszerre. További információ: https://aka.ms/ContentUserFeedback.
Visszajelzés küldése és megtekintése a következőhöz: