[Scelta consigliata] Forcepoint NGFW tramite il connettore AMA per Microsoft Sentinel
Il connettore Forcepoint NGFW (Next Generation Firewall) consente di esportare automaticamente i log forcepoint NGFW definiti dall'utente in Microsoft Sentinel in tempo reale. Ciò arricchisce la visibilità delle attività utente registrate da NGFW, consente un'ulteriore correlazione con i dati dei carichi di lavoro di Azure e di altri feed e migliora la funzionalità di monitoraggio con cartelle di lavoro all'interno di Microsoft Sentinel.
attributi Connessione or
Attributo Connessione or | Descrizione |
---|---|
Tabelle di Log Analytics | CommonSecurityLog (ForcePointNGFW) |
Supporto delle regole di raccolta dati | Trasformazione dell'area di lavoro DCR |
Supportato da | Community |
Esempi di query
Mostra tutte le azioni terminate da Forcepoint NGFW
CommonSecurityLog
| where DeviceVendor == "Forcepoint"
| where DeviceProduct == "NGFW"
| where DeviceAction == "Terminate"
Mostra tutto Forcepoint NGFW con il comportamento sospetto di compromissione
CommonSecurityLog
| where DeviceVendor == "Forcepoint"
| where DeviceProduct == "NGFW"
| where Activity contains "compromise"
Mostra il raggruppamento di tutti gli eventi Forcepoint NGFW in base al tipo di attività
CommonSecurityLog
| where DeviceVendor == "Forcepoint"
| where DeviceProduct == "NGFW"
| summarize count=count() by Activity
| render barchart
Prerequisiti
Per eseguire l'integrazione con [Consigliato] Forcepoint NGFW tramite AMA, assicurarsi di avere:
- : per raccogliere dati da macchine virtuali non di Azure, è necessario che Azure Arc sia installato e abilitato. Ulteriori informazioni
- : Common Event Format (CEF) tramite AMA e Syslog tramite i connettori dati AMA devono essere installati Altre informazioni
Istruzioni di installazione fornitore
Installare e configurare l'agente Linux per raccogliere i messaggi Syslog di Common Event Format (CEF) e inoltrarli a Microsoft Sentinel.
Si noti che i dati da tutte le aree verranno archiviati nell'area di lavoro selezionata
- Proteggere il computer
Assicurarsi di configurare la sicurezza del computer in base ai criteri di sicurezza dell'organizzazione
- Guida all'installazione dell'integrazione di Forcepoint
Per completare l'installazione di questa integrazione del prodotto Forcepoint, seguire la guida collegata di seguito.
Passaggi successivi
Per altre informazioni, vedere la soluzione correlata in Azure Marketplace.