次の方法で共有


[非推奨]Microsoft Sentinel 用 Sophos XG Firewall コネクタ

重要

多くのアプライアンスおよびデバイスからのログ収集が、AMA 経由の Common Event Format (CEF)、AMA 経由の Syslog、または Microsoft Sentinel の AMA データ コネクタ経由のカスタム ログでサポートされるようになりました。 詳細については、「Microsoft Sentinel データ コネクタを見つける」を参照してください。

Sophos XG Firewall を使うと、Microsoft Sentinel に Sophos XG Firewall ログを簡単に接続して、ダッシュ ボードを表示し、カスタム アラートを作成し、調査を向上させることができます。 Sophos XG Firewall を Microsoft Sentinel と統合すると、組織のファイアウォール トラフィックの可視性が向上し、セキュリティ監視機能が強化されます。

これは自動生成されたコンテンツです。 変更については、ソリューション プロバイダーにお問い合わせください。

コネクタの属性

コネクタ属性 説明
Log Analytics テーブル Syslog (SophosXGFirewall)
データ収集ルールのサポート ワークスペース変換 DCR
サポートしているもの Microsoft Corporation

クエリのサンプル

上位 10 件の拒否されたソース IP

SophosXGFirewall 

| where Log_Type == "Firewall" and Status == "Deny" 

| summarize count() by Src_IP 

| top 10 by count_

上位 10 件の拒否された宛先 IP

SophosXGFirewall 

| where Log_Type == "Firewall" and Status == "Deny" 

| summarize count() by Dst_IP 

| top 10 by count_

前提条件

[非推奨] Sophos XG Firewall と統合するには、次の機能があることを確認してください。

  • Sophos XG Firewall: Syslog を介してログをエクスポートするように構成する必要があります

ベンダーのインストール手順

注意

このデータ コネクタは、ソリューションの一部としてデプロイされている Kusto 関数に基づくパーサーを利用して正常に動作します。 Log Analytics で関数コードを表示するには、Log Analytics/Microsoft Sentinel ログ ブレードを開き、関数をクリックし、別名 Sophos XG Firewall を検索して関数コードを読み込みます。または ここをクリックするか、クエリの 2 行目で Sophos XG Firewall デバイスのホスト名と、ログストリームのその他の一意の識別子を入力します。 この関数は、通常、ソリューションのインストール/更新後にアクティブ化されるまでに 10 から 15 分かかります。

  1. Linux 用エージェントをインストールおよびオンボードする

一般的に、エージェントは、ログが生成されるコンピューターとは別のコンピューターにインストールする必要があります。

Syslog ログは Linux エージェントからのみ収集されます。

  1. 収集するログを構成する

収集するファシリティとその重要度を構成します。

  1. ワークスペースの詳細設定の [構成] で、[データ] を選択し、[Syslog] を選択します。

  2. [下の構成をコンピューターに適用する] を選択し、ファシリティと重要度を選択します。

  3. [保存] をクリックします。

  4. Sophos XG Firewall を構成して接続します

これらの手順に従って、syslog ストリーミングを有効にします。 Linux エージェントがインストールされている Linux デバイスの IP アドレスまたはホスト名を接続先 IP アドレスとして使用します。

次の手順

詳細については、Azure Marketplace の関連ソリューションに関するページを参照してください。