Bagikan melalui

[Tidak digunakan lagi] Konektor Sophos XG Firewall untuk Microsoft Azure Sentinel

  • Artikel

Penting

Pengumpulan log dari banyak appliance dan perangkat sekarang didukung oleh Common Event Format (CEF) melalui AMA, Syslog melalui AMA, atau Log Kustom melalui konektor data AMA di Microsoft Sentinel. Untuk informasi selengkapnya, lihat Menemukan konektor data Microsoft Azure Sentinel Anda.

Sophos XG Firewall memungkinkan Anda untuk dengan mudah menghubungkan log Sophos XG Firewall Anda dengan Microsoft Sentinel, untuk melihat dasbor, membuat pemberitahuan kustom, dan meningkatkan penyelidikan. Mengintegrasikan Sophos XG Firewall dengan Microsoft Sentinel memberikan lebih banyak visibilitas ke lalu lintas firewall organisasi Anda dan akan meningkatkan kemampuan pemantauan keamanan.

Ini adalah konten yang dibuat secara otomatis. Untuk perubahan, hubungi penyedia solusi.

Atribut konektor

Atribut konektor Deskripsi
Tabel Log Analytics Syslog (SophosXGFirewall)
Dukungan aturan pengumpulan data DCR transformasi ruang kerja
Didukung oleh Microsoft Corporation

Kueri sampel

10 IP Sumber Ditolak Teratas

SophosXGFirewall 

| where Log_Type == "Firewall" and Status == "Deny" 

| summarize count() by Src_IP 

| top 10 by count_

10 IP Tujuan Ditolak Teratas

SophosXGFirewall 

| where Log_Type == "Firewall" and Status == "Deny" 

| summarize count() by Dst_IP 

| top 10 by count_

Prasyarat

Untuk berintegrasi dengan [Tidak digunakan lagi] Sophos XG Firewall pastikan Anda memiliki:

  • Sophos XG Firewall: harus dikonfigurasi untuk mengekspor log melalui Syslog

Instruksi penginstalan vendor

Catatan

Konektor data ini tergantung pada pengurai berdasarkan Fungsi Kusto untuk bekerja seperti yang diharapkan yang disebarkan sebagai bagian dari solusi. Untuk melihat kode fungsi di Log Analytics, buka bilah Log Analytics/Microsoft Sentinel Logs, klik Functions dan cari alias Sophos XG Firewall dan muat kode fungsi atau klik di sini, pada baris kedua kueri, masukkan nama host perangkat Sophos XG Firewall Anda dan pengidentifikasi unik lainnya untuk logstream. Fungsi ini biasanya membutuhkan waktu 10-15 menit untuk diaktifkan setelah penginstalan/pembaruan solusi.

  1. Instal dan onboard agen untuk Linux

Biasanya, Anda harus menginstal agen di komputer yang berbeda dari komputer tempat log dibuat.

Log Syslog dikumpulkan hanya dari agen Linux .

  1. Konfigurasikan log yang akan dikumpulkan

Konfigurasikan fasilitas yang ingin Anda kumpulkan dan tingkat keparahannya.

  1. Di bawah Konfigurasi pengaturan tingkat lanjut ruang kerja, pilih Data lalu Syslog.

  2. Pilih Terapkan konfigurasi di bawah ini ke komputer saya dan pilih fasilitas dan tingkat keparahan.

  3. Klik Simpan.

  4. Mengonfigurasi dan menyambungkan Firewall Sophos XG

Ikuti petunjuk ini untuk mengaktifkan streaming syslog. Gunakan alamat IP atau nama host untuk perangkat Linux dengan agen Linux yang diinstal sebagai alamat IP Tujuan.

Langkah berikutnya

Untuk informasi selengkapnya, buka solusi terkait di Marketplace Azure.