Microsoft Sentinel 用 [推奨] AMA 経由 Forcepoint NGFW コネクタ
Forcepoint NGFW (次世代ファイアウォール) コネクタを使うと、ユーザー定義の Forcepoint NGFW ログを Microsoft Sentinel にリアルタイムで自動的にエクスポートできます。 これにより、NGFW によって記録されるユーザー アクティビティの可視性が強化され、Azure ワークロードや他のフィードからのデータの関連付けが向上し、Microsoft Sentinel 内のブックでの監視機能が向上します。
コネクタの属性
| コネクタ属性 | 説明 |
|---|---|
| Log Analytics テーブル | CommonSecurityLog (ForcePointNGFW) |
| データ収集ルールのサポート | Azure Monitor エージェントの DCR |
| サポートしているもの | コミュニティ |
クエリのサンプル
Forcepoint NGFW から終了された操作をすべて表示する
CommonSecurityLog
| where DeviceVendor == "Forcepoint"
| where DeviceProduct == "NGFW"
| where DeviceAction == "Terminate"
侵害の疑いがある動作を含むすべての Forcepoint NGFW を表示する
CommonSecurityLog
| where DeviceVendor == "Forcepoint"
| where DeviceProduct == "NGFW"
| where Activity contains "compromise"
すべての Forcepoint NGFW イベントをアクティビティの種類別にグループ化するグラフを表示する
CommonSecurityLog
| where DeviceVendor == "Forcepoint"
| where DeviceProduct == "NGFW"
| summarize count=count() by Activity
| render barchart
前提条件
[推奨] AMA 経由 Forcepoint NGFW と統合する場合は、次のことを確認してください。
- ****: Azure 以外の VM からデータを収集するには、Azure Arc をインストールして有効にする必要があります。 詳細情報
- ****: Common Event Format (CEF) via AMA と Syslog via AMA の各データ コネクタをインストールする必要があります。詳細情報
ベンダーのインストール手順
Linux エージェントをインストールし、Common Event Format (CEF) Syslog メッセージを収集して、Microsoft Sentinel に転送するように構成します。
選択したワークスペースにすべてのリージョンのデータが格納されます
- コンピューターをセキュリティで保護する
必ず、組織のセキュリティ ポリシーに従ってコンピューターのセキュリティを構成してください
- Forcepoint 統合インストール ガイド
この Forcepoint 製品統合のインストールを行うには、以下でリンクされているガイドに従ってください。
次のステップ
詳細については、Azure Marketplace の関連ソリューションに関するページを参照してください。