[Deprecato] Forcepoint CSG tramite il connettore Legacy Agent per Microsoft Sentinel
Importante
La raccolta di log da molti dispositivi e appliance è ora supportata da Common Event Format (CEF) tramite AMA, syslog tramite AMA o log personalizzati tramite il connettore dati AMA in Microsoft Sentinel. Per altre informazioni, vedere Trovare il connettore dati di Microsoft Sentinel.
Forcepoint Cloud Security Gateway è un servizio di sicurezza cloud convergente che offre visibilità, controllo e protezione dalle minacce per utenti e dati, ovunque si trovino. Per altre informazioni, vedere: https://www.forcepoint.com/product/cloud-security-gateway
Attributi connettore
| Attributo connettore | Descrizione |
|---|---|
| Tabelle Log Analytics | CommonSecurityLog (Forcepoint CSG) CommonSecurityLog (Forcepoint CSG) |
| Supporto regole di raccolta dati | Trasformazione area di lavoro DCR |
| Supportata da: | Community |
Esempi di query
Top 5 Web requested Domains with log severity equal to 6 (Medium)
CommonSecurityLog
| where TimeGenerated <= ago(0m)
| where DeviceVendor == "Forcepoint CSG"
| where DeviceProduct == "Web"
| where LogSeverity == 6
| where DeviceCustomString2 != ""
| summarize Count=count() by DeviceCustomString2
| top 5 by Count
| render piechart
Top 5 Web Users with 'Action' equal to 'Blocked'
CommonSecurityLog
| where TimeGenerated <= ago(0m)
| where DeviceVendor == "Forcepoint CSG"
| where DeviceProduct == "Web"
| where Activity == "Blocked"
| where SourceUserID != "Not available"
| summarize Count=count() by SourceUserID
| top 5 by Count
| render piechart
Primi 5 indirizzi di posta elettronica del mittente in cui punteggio di posta indesiderata maggiore di 10,0
CommonSecurityLog
| where TimeGenerated <= ago(0m)
| where DeviceVendor == "Forcepoint CSG"
| where DeviceProduct == "Email"
| where DeviceCustomFloatingPoint1 > 10.0
| summarize Count=count() by SourceUserName
| top 5 by Count
| render barchart
Istruzioni per l’installazione di Vendor
- Configurazione dell'agente di Syslog per Linux
Questa integrazione richiede che l'agente Syslog Linux raccolga i log Web/email di Forcepoint Cloud Security Gateway sulla porta 514 TCP come common event format (CEF) e li inoltra a Microsoft Sentinel.This integration requires the Linux Syslog agent to collect your Forcepoint Cloud Security Gateway Web/Email logs on port 514 TCP as Common Event Format (CEF) and forward them to Microsoft Sentinel.
Il comando di installazione dell'agente Syslog del connettore dati è:
sudo wget -O cef_installer.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/CEF/cef_installer.py&&sudo python cef_installer.py {0} {1}
- Opzioni di implementazione
L'integrazione viene resa disponibile con due opzioni di implementazione.
2.1 Implementazione di Docker
Sfrutta le immagini Docker in cui il componente di integrazione è già installato con tutte le dipendenze necessarie.
Seguire le istruzioni fornite nella Guida all'integrazione collegata di seguito.
2.2 Implementazione tradizionale
Richiede la distribuzione manuale del componente di integrazione all'interno di un computer Linux pulito.
Seguire le istruzioni fornite nella Guida all'integrazione collegata di seguito.
- Convalida connessione
Seguire le istruzioni per convalidare la connettività:
Aprire Log Analytics per verificare se i log vengono ricevuti usando lo schema CommonSecurityLog.
Lo streaming dei dati nell'area di lavoro da parte della connessione potrebbe richiedere circa 20 minuti.
Se i log non vengono ricevuti, eseguire lo script di convalida della connettività seguente:
- Verificare che Python sia installato nel computer usando il comando seguente: python -version
- È necessario disporre di autorizzazioni elevate (sudo) nel computer
Eseguire il comando seguente per convalidare la connettività:
sudo wget -O cef_troubleshoot.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/CEF/cef_troubleshoot.py&&sudo python cef_troubleshoot.py {0}
- Proteggere il computer
Assicurarsi di configurare la sicurezza del computer in base ai criteri di sicurezza dell'organizzazione
Passaggi successivi
Per altre informazioni, visitare la soluzione correlata in Azure Marketplace.