[Deprecato] Connettore firewall SonicWall per Microsoft Sentinel
Importante
La raccolta di log da molti dispositivi e appliance è ora supportata da Common Event Format (CEF) tramite AMA, syslog tramite AMA o log personalizzati tramite il connettore dati AMA in Microsoft Sentinel. Per altre informazioni, vedere Trovare il connettore dati di Microsoft Sentinel.
Common Event Format (CEF) è un formato standard di settore su messaggi Syslog, usato da SonicWall per consentire l'interoperabilità degli eventi tra piattaforme diverse. Connettendo i log CEF a Microsoft Sentinel, è possibile sfruttare i vantaggi di ricerca e correlazione, avvisi e arricchimento delle informazioni sulle minacce per ogni log.
Questo contenuto è generato automaticamente. Per modifiche, contattare il provider di soluzioni.
Attributi connettore
| Attributo connettore | Descrizione |
|---|---|
| Tabelle Log Analytics | CommonSecurityLog (SonicWall) |
| Supporto regole di raccolta dati | Trasformazione area di lavoro DCR |
| Supportata da: | SonicWall |
Esempi di query
Tutti i log
CommonSecurityLog
| where DeviceVendor == "SonicWall"
| sort by TimeGenerated desc
Riepiloga per indirizzo IP di destinazione e porta
CommonSecurityLog
| where DeviceVendor == "SonicWall"
| summarize count() by DestinationIP, DestinationPort, TimeGenerated
| sort by TimeGenerated desc
Mostra tutto il traffico annullato da SonicWall Firewall
CommonSecurityLog
| where DeviceVendor == "SonicWall"
| where AdditionalExtensions contains "fw_action='drop'"
Istruzioni per l’installazione di Vendor
- Configurazione dell'agente di Syslog per Linux
Installare e configurare l'agente Linux per raccogliere i messaggi Syslog di Common Event Format (CEF) e inoltrarli a Microsoft Sentinel.
Si noti che i dati di tutte le aree verranno archiviati nell'area di lavoro selezionata 1.1 Selezionare o creare un computer Linux.
Selezionare o creare una macchina virtuale Linux che Microsoft Sentinel userà come proxy tra la soluzione di sicurezza e Microsoft Sentinel. La macchina virtuale può risiedere nell'ambiente locale, in Azure o in altri cloud.
1.2 Installare l'agente di raccolta CEF nel computer Linux
Installare Microsoft Monitoring Agent nel computer Linux, configurare il computer per l'ascolto sulla porta necessaria e inoltrare i messaggi all'area di lavoro di Microsoft Sentinel. L'agente di raccolta CEF raccoglie messaggi CEF sulla porta 514 TCP.
Verificare che Python sia installato nel computer usando il comando seguente: python -version.
È necessario disporre di autorizzazioni elevate (sudo) nel computer. Eseguire il comando seguente per installare e applicare l'agente di raccolta CEF:
sudo wget -O cef_installer.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/CEF/cef_installer.py&&sudo python cef_installer.py [Workspace ID] [Workspace Primary Key]Inoltrare i log in formato CEF (Common Event Format) del SonicWall Firewall all'agente di Syslog
Impostare SonicWall Firewall per inviare messaggi Syslog in formato CEF al computer proxy. Assicurarsi di inviare i log alla porta 514 TCP nell'indirizzo IP del computer.
Seguire le istruzioni. Assicurarsi quindi di selezionare l'uso locale 4 come struttura. Selezionare quindi ArcSight come formato Syslog.
Convalida connessione
Seguire le istruzioni per convalidare la connettività:
Aprire Log Analytics per verificare se i log vengono ricevuti usando lo schema CommonSecurityLog.
Lo streaming dei dati nell'area di lavoro da parte della connessione potrebbe richiedere circa 20 minuti. Se i log non vengono ricevuti, eseguire lo script di convalida della connettività seguente:
Verificare che Python sia installato nel computer usando il comando seguente: python -version
È necessario disporre di autorizzazioni elevate (sudo) nel computer Per convalidare la connessione, eseguire il comando seguente:
sudo wget -O cef_troubleshoot.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/CEF/cef_troubleshoot.py&&sudo python cef_troubleshoot.py [Workspace ID]Proteggere il computer
Assicurarsi di configurare la sicurezza del computer in base ai criteri di sicurezza dell'organizzazione.
Passaggi successivi
Per altre informazioni, visitare la soluzione correlata in Azure Marketplace.