Microsoft Sentinel 用レガシ エージェント経由の [非推奨] Forcepoint CSG コネクタ
Forcepoint Cloud Security Gateway は、ユーザーとデータの場所にかかわらず、可視性、制御、脅威に対する保護を提供する、集約型クラウド セキュリティ サービスです。 詳細については、https://www.forcepoint.com/product/cloud-security-gateway を参照してください
コネクタの属性
| コネクタ属性 | 説明 |
|---|---|
| Log Analytics テーブル | CommonSecurityLog (Forcepoint CSG) CommonSecurityLog (Forcepoint CSG) |
| データ収集ルールのサポート | ワークスペース変換 DCR |
| サポートしているもの | コミュニティ |
クエリのサンプル
ログ重大度が 6 (中) であるドメインを要求した上位 5 個の Web
CommonSecurityLog
| where TimeGenerated <= ago(0m)
| where DeviceVendor == "Forcepoint CSG"
| where DeviceProduct == "Web"
| where LogSeverity == 6
| where DeviceCustomString2 != ""
| summarize Count=count() by DeviceCustomString2
| top 5 by Count
| render piechart
'Action' が 'Blocked' である上位 5 名の Web ユーザー
CommonSecurityLog
| where TimeGenerated <= ago(0m)
| where DeviceVendor == "Forcepoint CSG"
| where DeviceProduct == "Web"
| where Activity == "Blocked"
| where SourceUserID != "Not available"
| summarize Count=count() by SourceUserID
| top 5 by Count
| render piechart
スパムのスコアが 10.0 より大きい上位 5 件の送信者のメール アドレス
CommonSecurityLog
| where TimeGenerated <= ago(0m)
| where DeviceVendor == "Forcepoint CSG"
| where DeviceProduct == "Email"
| where DeviceCustomFloatingPoint1 > 10.0
| summarize Count=count() by SourceUserName
| top 5 by Count
| render barchart
ベンダーのインストール手順
- Linux Syslog エージェントの構成
この統合を行うには、Linux Syslog エージェントが、ポート 514 TCP において Forcepoint Cloud Security Gateway の Web またはメール ログを Common Event Format (CEF) で収集し、それを Microsoft Sentinel に転送する必要があります。
データ コネクタ Syslog エージェントのインストール コマンドは次のとおりです。
sudo wget -O cef_installer.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/CEF/cef_installer.py&&sudo python cef_installer.py {0} {1}
- 実装オプション
統合は 2 つの実装オプションで使用できます。
2.1 Docker の実装
必要なすべての依存関係を含む統合コンポーネントが既にインストールされている Docker イメージを活用します。
以下のリンク先の統合ガイドに記載されている手順に従ってください。
2.2 従来の実装
クリーンな Linux マシン内に統合コンポーネントを手動でデプロイする必要があります。
以下のリンク先の統合ガイドに記載されている手順に従ってください。
- 接続の検証
手順に従って接続を検証します。
Log Analytics を開き、CommonSecurityLog スキーマを使用してログが受信されているかどうかを確認します。
接続によってデータがワークスペースにストリーミングされるまで約 20 分かかる場合があります。
ログが受信されない場合は、次の接続検証スクリプトを実行します。
- コマンド python -version を使用して、コンピューターに Python がインストールされていることを確認します
- コンピューターに対する管理者特権のアクセス許可 (sudo) が必要です
次のコマンドを実行して、接続を検証します。
sudo wget -O cef_troubleshoot.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/CEF/cef_troubleshoot.py&&sudo python cef_troubleshoot.py {0}
- コンピューターをセキュリティで保護する
必ず、組織のセキュリティ ポリシーに従ってコンピューターのセキュリティを構成してください
次のステップ
詳細については、Azure Marketplace の関連ソリューションに関するページを参照してください。