[Scelta consigliata] Forcepoint NGFW tramite il connettore AMA per Microsoft Sentinel

  • Articolo

Il connettore Forcepoint NGFW (Next Generation Firewall) consente di esportare automaticamente i log forcepoint NGFW definiti dall'utente in Microsoft Sentinel in tempo reale. Ciò arricchisce la visibilità delle attività utente registrate da NGFW, consente un'ulteriore correlazione con i dati dei carichi di lavoro di Azure e di altri feed e migliora la funzionalità di monitoraggio con cartelle di lavoro all'interno di Microsoft Sentinel.

attributi Connessione or

Attributo Connessione or Descrizione
Tabelle di Log Analytics CommonSecurityLog (ForcePointNGFW)
Supporto delle regole di raccolta dati Trasformazione dell'area di lavoro DCR
Supportato da Community

Esempi di query

Mostra tutte le azioni terminate da Forcepoint NGFW


CommonSecurityLog

| where DeviceVendor == "Forcepoint"

| where DeviceProduct == "NGFW"

| where DeviceAction == "Terminate"

Mostra tutto Forcepoint NGFW con il comportamento sospetto di compromissione


CommonSecurityLog

| where DeviceVendor == "Forcepoint"

| where DeviceProduct == "NGFW"

| where Activity contains "compromise"

Mostra il raggruppamento di tutti gli eventi Forcepoint NGFW in base al tipo di attività


CommonSecurityLog

| where DeviceVendor == "Forcepoint"

| where DeviceProduct == "NGFW"

| summarize count=count() by Activity

| render barchart

Prerequisiti

Per eseguire l'integrazione con [Consigliato] Forcepoint NGFW tramite AMA, assicurarsi di avere:

  • : per raccogliere dati da macchine virtuali non di Azure, è necessario che Azure Arc sia installato e abilitato. Ulteriori informazioni
  • : Common Event Format (CEF) tramite AMA e Syslog tramite i connettori dati AMA devono essere installati Altre informazioni

Istruzioni di installazione fornitore

Installare e configurare l'agente Linux per raccogliere i messaggi Syslog di Common Event Format (CEF) e inoltrarli a Microsoft Sentinel.

Si noti che i dati da tutte le aree verranno archiviati nell'area di lavoro selezionata

  1. Proteggere il computer

Assicurarsi di configurare la sicurezza del computer in base ai criteri di sicurezza dell'organizzazione

Altre informazioni>

  1. Guida all'installazione dell'integrazione di Forcepoint

Per completare l'installazione di questa integrazione del prodotto Forcepoint, seguire la guida collegata di seguito.

Guida all'installazione >

Passaggi successivi

Per altre informazioni, vedere la soluzione correlata in Azure Marketplace.