WatchGuard Firebox-összekötő a Microsoft Sentinelhez
A WatchGuard Firebox (https://www.watchguard.com/wgrd-products/firewall-appliances és https://www.watchguard.com/wgrd-products/cloud-and-virtual-firewalls) biztonsági termékek/tűzfalberendezések. A Watchguard Firebox syslogot küld a Watchguard Firebox gyűjtőügynökének. Az ügynök ezután elküldi az üzenetet a munkaterületnek.
Ez automatikusan létrehozott tartalom. A módosításokért forduljon a megoldásszolgáltatóhoz.
Csatlakozás or attribútumok
| Csatlakozás or attribútum | Leírás |
|---|---|
| Log Analytics-tábla(ok) | Syslog (WatchGuardFirebox) |
| Adatgyűjtési szabályok támogatása | Munkaterület-átalakítás – DCR |
| Támogatja: | WatchGuard |
Példák lekérdezésekre
Top 10 Fireboxes az elmúlt 24 órában
WatchGuardFirebox
| where TimeGenerated >= ago(24h)
| summarize count() by HostName
| top 10 by count_ desc
A WatchGuard-XTM nevű tűztér az elmúlt 24 óra 10 legjobb üzenete
WatchGuardFirebox
| where HostName contains 'WatchGuard-XTM'
| where TimeGenerated >= ago(24h)
| summarize count() by MessageId
| top 10 by count_ desc
Firebox Named WatchGuard-XTM top 10 alkalmazás az elmúlt 24 órában
WatchGuardFirebox
| where HostName contains 'WatchGuard-XTM'
| where TimeGenerated >= ago(24h)
| summarize count() by Application
| top 10 by count_ desc
Szállító telepítési útmutatója
MEGJEGYZÉS: Ez az adatösszekötő egy Kusto-függvényen alapuló elemzőtől függ, amely a megoldás részeként üzembe helyezett elvárt módon működik. A Log Analytics függvénykódjának megtekintéséhez nyissa meg a Log Analytics/Microsoft Sentinel Naplók panelt, kattintson a Functions elemre, keresse meg a WatchGuardFirebox aliast, és töltse be a függvénykódot, vagy kattintson ide a lekérdezés második sorában, adja meg a WatchGuard Firebox-eszköz(ek) állomásnevét és a naplóstream egyéb egyedi azonosítóit. A függvény aktiválása általában 10–15 percet vesz igénybe a megoldás telepítése/frissítése után.
- Az ügynök telepítése és előkészítése Linuxhoz
Az ügynököt általában egy másik számítógépre kell telepítenie, mint amelyiken a naplók létrejönnek.
A syslog-naplók csak Linux-ügynököktől gyűjthetők.
- A gyűjtendő naplók konfigurálása
Konfigurálja a gyűjtendő létesítményeket és azok súlyosságát.
- A munkaterület speciális beállításainak konfigurációja területen válassza az Adatok , majd a Syslog lehetőséget.
- Válassza az Alábbi konfiguráció alkalmazása a gépeimre lehetőséget, és válassza ki a létesítményeket és súlyosságokat.
- Kattintson a Mentés gombra.
Következő lépések
További információ: a kapcsolódó megoldás az Azure Marketplace-en.
Visszajelzés
Hamarosan elérhető: 2024-ben fokozatosan kivezetjük a GitHub-problémákat a tartalom visszajelzési mechanizmusaként, és lecseréljük egy új visszajelzési rendszerre. További információ: https://aka.ms/ContentUserFeedback.
Visszajelzés küldése és megtekintése a következőhöz: