Microsoft Sentinel 用 [推奨] AMA 経由 Forcepoint CASB コネクタ
Forcepoint CASB (クラウド アクセス セキュリティ ブローカー) コネクタを使用すると、CASB ログとイベントを自動的に Microsoft Sentinel にリアルタイムでエクスポートできます。 これにより、場所とクラウド アプリケーション全体のユーザー アクティビティの可視性が強化され、Azure ワークロードやその他のフィードからのデータの関連付けが向上し、Microsoft Sentinel 内のブックでの監視機能が向上します。
コネクタの属性
コネクタ属性 | 説明 |
---|---|
Log Analytics テーブル | CommonSecurityLog (ForcepointCASB) |
データ収集ルールのサポート | Azure Monitor エージェントの DCR |
サポートしているもの | コミュニティ |
クエリのサンプル
ログの数が最も多い上位 5 人のユーザー
CommonSecurityLog
| summarize Count = count() by DestinationUserName
| top 5 by DestinationUserName
| render barchart
**失敗した試行回数の上位 5 人のユーザー**
CommonSecurityLog
| extend outcome = coalesce(column_ifexists("EventOutcome", ""), tostring(split(split(AdditionalExtensions, ";", 2)[0], "=", 1)[0]), "")
| extend reason = coalesce(column_ifexists("Reason", ""), tostring(split(split(AdditionalExtensions, ";", 3)[0], "=", 1)[0]), "")
| where outcome =="Failure"
| summarize Count= count() by DestinationUserName
| render barchart
前提条件
[推奨] AMA 経由 Forcepoint CASB と統合するには、次の機能があることを確認します。
- ****: Azure 以外の VM からデータを収集するには、Azure Arc をインストールして有効にする必要があります。 詳細情報
- ****: Common Event Format (CEF) via AMA と Syslog via AMA の各データ コネクタをインストールする必要があります。詳細情報
ベンダーのインストール手順
Linux エージェントをインストールし、Common Event Format (CEF) Syslog メッセージを収集して、Microsoft Sentinel に転送するように構成します。
選択したワークスペースにすべてのリージョンのデータが格納されます
- コンピューターをセキュリティで保護する
必ず、組織のセキュリティ ポリシーに従ってコンピューターのセキュリティを構成してください
- Forcepoint 統合インストール ガイド
この Forcepoint 製品統合のインストールを行うには、以下でリンクされているガイドに従ってください。
次のステップ
詳細については、Azure Marketplace の関連ソリューションに関するページを参照してください。