Konektor SonicWall Firewall untuk Microsoft Azure Sentinel
Common Event Format (CEF) adalah format standar industri di atas pesan Syslog, yang digunakan oleh SonicWall untuk memungkinkan interoperabilitas peristiwa di antara berbagai platform. Dengan menghubungkan log CEF Anda ke Microsoft Sentinel, Anda dapat memanfaatkan pencarian & korelasi, peringatan, dan pengayaan inteligensi ancaman untuk setiap log.
Ini adalah konten yang dibuat secara otomatis. Untuk perubahan, hubungi penyedia solusi.
atribut Koneksi or
Atribut konektor | Deskripsi |
---|---|
Tabel Log Analytics | CommonSecurityLog (SonicWall) |
Dukungan aturan pengumpulan data | DCR transformasi ruang kerja |
Didukung oleh | Sonicwall |
Kueri sampel
Semua log
CommonSecurityLog
| where DeviceVendor == "SonicWall"
| sort by TimeGenerated desc
Ringkas menurut IP dan port tujuan
CommonSecurityLog
| where DeviceVendor == "SonicWall"
| summarize count() by DestinationIP, DestinationPort, TimeGenerated
| sort by TimeGenerated desc
Tampilkan semua lalu lintas yang dihilangkan dari Firewall SonicWall
CommonSecurityLog
| where DeviceVendor == "SonicWall"
| where AdditionalExtensions contains "fw_action='drop'"
Instruksi penginstalan vendor
- Konfigurasi agen Syslog Linux
Instal dan konfigurasikan agen Linux untuk mengumpulkan pesan Syslog Common Event Format (CEF) Anda dan teruskan ke Microsoft Sentinel.
Perhatikan bahwa data dari semua wilayah akan disimpan di ruang kerja yang dipilih 1.1 Pilih atau buat komputer Linux.
Pilih atau buat komputer Linux yang akan digunakan Microsoft Azure Sentinel sebagai proksi antara solusi keamanan Anda dan Microsoft Sentinel komputer ini dapat berada di lingkungan lokal Anda, Azure, atau cloud lainnya.
1.2 Menginstal kolektor CEF pada komputer Linux
Instal Microsoft Monitoring Agent di komputer Linux Anda dan konfigurasikan komputer untuk mendengarkan port yang diperlukan dan meneruskan pesan ke ruang kerja Microsoft Azure Sentinel Anda. Kolektor CEF mengumpulkan pesan CEF pada port 514 TCP.
Pastikan Anda memiliki Python di komputer Anda menggunakan perintah berikut: python -version.
Anda harus memiliki izin yang lebih tinggi (sudo) pada mesin Anda. Jalankan perintah berikut untuk menginstal dan menerapkan pengumpul CEF:
sudo wget -O cef_installer.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/CEF/cef_installer.py&&sudo python cef_installer.py [Workspace ID] [Workspace Primary Key]
Meneruskan log Format Peristiwa Umum (CEF) Firewall SonicWall ke agen Syslog
Atur Firewall SonicWall Anda untuk mengirim pesan Syslog dalam format CEF ke komputer proksi. Pastikan Anda mengirim log ke port 514 TCP pada alamat IP komputer.
Ikuti Instruksi. Kemudian Pastikan Anda memilih penggunaan lokal 4 sebagai fasilitas. Lalu pilih ArcSight sebagai format Syslog.
Validasi koneksi
Ikuti instruksi untuk memvalidasi konektivitas Anda:
Buka Analitik Log untuk memeriksa apakah log diterima menggunakan skema CommonSecurityLog.
Mungkin perlu waktu sekitar 20 menit hingga koneksi mengalirkan data ke ruang kerja Anda. Jika log tidak diterima, jalankan skrip validasi konektivitas berikut:
Pastikan Anda memiliki Python di komputer Anda menggunakan perintah berikut: python -version
Anda harus memiliki izin yang ditingkatkan (sudo) pada komputer Anda Jalankan perintah berikut untuk memvalidasi konektivitas Anda:
sudo wget -O cef_troubleshoot.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/CEF/cef_troubleshoot.py&&sudo python cef_troubleshoot.py [Workspace ID]
Mengamankan komputer Anda
Pastikan untuk mengonfigurasi keamanan mesin sesuai dengan kebijakan keamanan organisasi Anda.
Langkah berikutnya
Untuk informasi selengkapnya, buka solusi terkait di Marketplace Azure.
Saran dan Komentar
https://aka.ms/ContentUserFeedback.
Segera hadir: Sepanjang tahun 2024 kami akan menghentikan penggunaan GitHub Issues sebagai mekanisme umpan balik untuk konten dan menggantinya dengan sistem umpan balik baru. Untuk mengetahui informasi selengkapnya, lihat:Kirim dan lihat umpan balik untuk