[Deprecato] Connettore firewall Sophos XG per Microsoft Sentinel
Importante
La raccolta di log da molti dispositivi e appliance è ora supportata da Common Event Format (CEF) tramite AMA, syslog tramite AMA o log personalizzati tramite il connettore dati AMA in Microsoft Sentinel. Per altre informazioni, vedere Trovare il connettore dati di Microsoft Sentinel.
Sophos XG Firewall consente di connettere facilmente i log di Sophos XG Firewall a Microsoft Sentinel, visualizzare i dashboard, creare avvisi personalizzati e migliorare le indagini. L'integrazione di Sophos XG Firewall con Microsoft Sentinel offre maggiore visibilità sul traffico firewall dell'organizzazione e migliorerà le funzionalità di monitoraggio della sicurezza.
Questo contenuto è generato automaticamente. Per modifiche, contattare il provider di soluzioni.
Attributi connettore
| Attributo connettore | Descrizione |
|---|---|
| Tabelle Log Analytics | Syslog (SophosXGFirewall) |
| Supporto regole di raccolta dati | Trasformazione area di lavoro DCR |
| Supportata da: | Microsoft Corporation |
Esempi di query
Primi 10 indirizzi IP di origine negati
SophosXGFirewall
| where Log_Type == "Firewall" and Status == "Deny"
| summarize count() by Src_IP
| top 10 by count_
Primi 10 indirizzi IP di destinazione negati
SophosXGFirewall
| where Log_Type == "Firewall" and Status == "Deny"
| summarize count() by Dst_IP
| top 10 by count_
Prerequisiti
Per eseguire l'integrazione con [Deprecato] Sophos XG Firewall, assicurarsi di disporre di:
- Sophos XG Firewall: deve essere configurato per esportare i log tramite Syslog
Istruzioni per l’installazione di Vendor
Nota
Questo connettore dati dipende da un parser basato su una funzione Kusto per funzionare come previsto, che viene distribuito come parte della soluzione. Per visualizzare il codice della funzione in Log Analytics, aprire il pannello Log Analytics/Microsoft Sentinel Logs, fare clic su Funzioni e cercare l'alias Sophos XG Firewall e caricare il codice della funzione oppure fare clic qui, nella seconda riga della query immettere i nomi host dei dispositivi Sophos XG Firewall e qualsiasi altro identificatore univoco per il logstream. La funzione richiede in genere 10-15 minuti per l'attivazione dopo l'installazione/aggiornamento della soluzione.
- Installare e caricare l'agente per Linux
È in genere consigliabile installare l'agente in un computer diverso rispetto a quello in cui vengono generati i log.
I log syslog vengono raccolti solo dagli agenti Linux.
- Configurare i log da raccogliere
È possibile configurare le strutture da raccogliere e le rispettive gravità.
In Configurazione delle impostazioni avanzate dell'area di lavoro selezionare Dati e quindi Syslog.
Selezionare Applica la configurazione seguente alle macchine virtuali e quindi selezionare le strutture e le gravità.
Fare clic su Salva.
Configurare e connettere Sophos XG Firewall
Seguire queste istruzioni per abilitare lo streaming syslog. Usare l'indirizzo IP o il nome host per il dispositivo Linux con l'agente Linux installato come indirizzo IP di destinazione.
Passaggi successivi
Per altre informazioni, visitare la soluzione correlata in Azure Marketplace.