[Tidak digunakan lagi] Forcepoint CSG melalui konektor Agen Warisan untuk Microsoft Azure Sentinel
Forcepoint Cloud Security Gateway adalah layanan keamanan cloud terkonvergensi yang memberikan visibilitas, kontrol, dan perlindungan ancaman bagi pengguna dan data, di mana pun mereka berada. Untuk informasi selengkapnya, kunjungi: https://www.forcepoint.com/product/cloud-security-gateway
atribut Koneksi or
| Atribut konektor | Deskripsi |
|---|---|
| Tabel Log Analytics | CommonSecurityLog (Forcepoint CSG) CommonSecurityLog (Forcepoint CSG) |
| Dukungan aturan pengumpulan data | DCR transformasi ruang kerja |
| Didukung oleh | Comunity |
Kueri sampel
5 Domain yang diminta Web teratas dengan tingkat keparahan log sama dengan 6 (Sedang)
CommonSecurityLog
| where TimeGenerated <= ago(0m)
| where DeviceVendor == "Forcepoint CSG"
| where DeviceProduct == "Web"
| where LogSeverity == 6
| where DeviceCustomString2 != ""
| summarize Count=count() by DeviceCustomString2
| top 5 by Count
| render piechart
5 Pengguna Web Teratas dengan 'Tindakan' sama dengan 'Diblokir'
CommonSecurityLog
| where TimeGenerated <= ago(0m)
| where DeviceVendor == "Forcepoint CSG"
| where DeviceProduct == "Web"
| where Activity == "Blocked"
| where SourceUserID != "Not available"
| summarize Count=count() by SourceUserID
| top 5 by Count
| render piechart
5 Alamat Email Pengirim Teratas di mana Skor Spam Lebih Besar dari 10.0
CommonSecurityLog
| where TimeGenerated <= ago(0m)
| where DeviceVendor == "Forcepoint CSG"
| where DeviceProduct == "Email"
| where DeviceCustomFloatingPoint1 > 10.0
| summarize Count=count() by SourceUserName
| top 5 by Count
| render barchart
Instruksi penginstalan vendor
- Konfigurasi agen Syslog Linux
Integrasi ini mengharuskan agen Linux Syslog untuk mengumpulkan log Forcepoint Cloud Security Gateway Web/Email Anda pada port 514 TCP sebagai Common Event Format (CEF) dan meneruskannya ke Microsoft Sentinel.
Perintah Penginstalan Data Koneksi or Syslog Agent Anda adalah:
sudo wget -O cef_installer.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/CEF/cef_installer.py&&sudo python cef_installer.py {0} {1}
- Opsi implementasi
Integrasi tersedia dengan dua opsi implementasi.
2.1 Implementasi Docker
Memanfaatkan gambar docker di mana komponen integrasi sudah diinstal dengan semua dependensi yang diperlukan.
Ikuti instruksi yang diberikan dalam Panduan Integrasi yang ditautkan di bawah ini.
2.2 Implementasi Tradisional
Memerlukan penyebaran manual komponen integrasi di dalam komputer Linux yang bersih.
Ikuti instruksi yang diberikan dalam Panduan Integrasi yang ditautkan di bawah ini.
- Validasi koneksi
Ikuti instruksi untuk memvalidasi konektivitas Anda:
Buka Analitik Log untuk memeriksa apakah log diterima menggunakan skema CommonSecurityLog.
Mungkin perlu waktu sekitar 20 menit hingga koneksi mengalirkan data ke ruang kerja Anda.
Jika log tidak diterima, jalankan skrip validasi konektivitas berikut:
- Pastikan Anda memiliki Python di komputer Anda menggunakan perintah berikut: python -version
- Anda harus memiliki izin yang ditingkatkan (sudo) pada komputer Anda
Jalankan perintah berikut untuk memvalidasi konektivitas Anda:
sudo wget -O cef_troubleshoot.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/CEF/cef_troubleshoot.py&&sudo python cef_troubleshoot.py {0}
- Mengamankan komputer Anda
Pastikan untuk mengonfigurasi keamanan komputer sesuai dengan kebijakan keamanan organisasi Anda
Langkah berikutnya
Untuk informasi selengkapnya, buka solusi terkait di Marketplace Azure.