[Deprecato] Forcepoint CSG tramite il connettore Legacy Agent per Microsoft Sentinel
Forcepoint Cloud Security Gateway è un servizio di sicurezza cloud convergente che offre visibilità, controllo e protezione dalle minacce per utenti e dati, ovunque si trovino. Per altre informazioni, vedere: https://www.forcepoint.com/product/cloud-security-gateway
attributi Connessione or
Attributo Connessione or | Descrizione |
---|---|
Tabelle di Log Analytics | CommonSecurityLog (Forcepoint CSG) CommonSecurityLog (Forcepoint CSG) |
Supporto delle regole di raccolta dati | Trasformazione dell'area di lavoro DCR |
Supportato da | Community |
Esempi di query
Top 5 Web requested Domains with log severity equal to 6 (Medium)
CommonSecurityLog
| where TimeGenerated <= ago(0m)
| where DeviceVendor == "Forcepoint CSG"
| where DeviceProduct == "Web"
| where LogSeverity == 6
| where DeviceCustomString2 != ""
| summarize Count=count() by DeviceCustomString2
| top 5 by Count
| render piechart
Top 5 Web Users with 'Action' equal to 'Blocked'
CommonSecurityLog
| where TimeGenerated <= ago(0m)
| where DeviceVendor == "Forcepoint CSG"
| where DeviceProduct == "Web"
| where Activity == "Blocked"
| where SourceUserID != "Not available"
| summarize Count=count() by SourceUserID
| top 5 by Count
| render piechart
Primi 5 indirizzi di posta elettronica del mittente in cui punteggio di posta indesiderata maggiore di 10,0
CommonSecurityLog
| where TimeGenerated <= ago(0m)
| where DeviceVendor == "Forcepoint CSG"
| where DeviceProduct == "Email"
| where DeviceCustomFloatingPoint1 > 10.0
| summarize Count=count() by SourceUserName
| top 5 by Count
| render barchart
Istruzioni di installazione fornitore
- Configurazione dell'agente Syslog linux
Questa integrazione richiede che l'agente Syslog Linux raccolga i log Web/email di Forcepoint Cloud Security Gateway sulla porta 514 TCP come common event format (CEF) e li inoltra a Microsoft Sentinel.This integration requires the Linux Syslog agent to collect your Forcepoint Cloud Security Gateway Web/Email logs on port 514 TCP as Common Event Format (CEF) and forward them to Microsoft Sentinel.
Il comando di installazione dell'agente Syslog di Data Connessione or è:
sudo wget -O cef_installer.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/CEF/cef_installer.py&&sudo python cef_installer.py {0} {1}
- Opzioni di implementazione
L'integrazione viene resa disponibile con due opzioni di implementazione.
2.1 Implementazione di Docker
Sfrutta le immagini Docker in cui il componente di integrazione è già installato con tutte le dipendenze necessarie.
Seguire le istruzioni fornite nella Guida all'integrazione collegata di seguito.
2.2 Implementazione tradizionale
Richiede la distribuzione manuale del componente di integrazione all'interno di un computer Linux pulito.
Seguire le istruzioni fornite nella Guida all'integrazione collegata di seguito.
- Convalidare la connessione
Seguire le istruzioni per convalidare la connettività:
Aprire Log Analytics per verificare se i log vengono ricevuti usando lo schema CommonSecurityLog.
Potrebbero essere necessari circa 20 minuti fino a quando i dati della connessione non passano all'area di lavoro.
Se i log non vengono ricevuti, eseguire lo script di convalida della connettività seguente:
- Assicurarsi di disporre di Python nel computer usando il comando seguente: python -version
- È necessario disporre di autorizzazioni elevate (sudo) nel computer
Eseguire il comando seguente per convalidare la connettività:
sudo wget -O cef_troubleshoot.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/CEF/cef_troubleshoot.py&&sudo python cef_troubleshoot.py {0}
- Proteggere il computer
Assicurarsi di configurare la sicurezza del computer in base ai criteri di sicurezza dell'organizzazione
Passaggi successivi
Per altre informazioni, vedere la soluzione correlata in Azure Marketplace.