Microsoft Sentinel 用 Sophos XG Firewall コネクタ
Sophos XG Firewall を使うと、Microsoft Sentinel に Sophos XG Firewall ログを簡単に接続して、ダッシュ ボードを表示し、カスタム アラートを作成し、調査を向上させることができます。 Sophos XG Firewall を Microsoft Sentinel と統合すると、組織のファイアウォール トラフィックの可視性が向上し、セキュリティ監視機能が強化されます。
コネクタの属性
| コネクタ属性 | 説明 |
|---|---|
| Log Analytics テーブル | Syslog (SophosXGFirewall) |
| データ収集ルールのサポート | ワークスペース変換 DCR |
| サポートしているもの | Microsoft Corporation |
クエリのサンプル
上位 10 件の拒否されたソース IP
SophosXGFirewall
| where Log_Type == "Firewall" and Status == "Deny"
| summarize count() by Src_IP
| top 10 by count_
上位 10 件の拒否された宛先 IP
SophosXGFirewall
| where Log_Type == "Firewall" and Status == "Deny"
| summarize count() by Dst_IP
| top 10 by count_
前提条件
Sophos XG Firewall と統合するには、以下が必要です。
- Sophos XG Firewall: Syslog を介してログをエクスポートするように構成する必要があります
ベンダーのインストール手順
注意
このデータ コネクタは、ソリューションの一部としてデプロイされている Kusto 関数に基づくパーサーを利用して正常に動作します。 Log Analytics で関数コードを表示するには、Log Analytics/Microsoft Sentinel ログ ブレードを開き、関数をクリックし、別名 Sophos XG Firewall を検索して関数コードを読み込みます。または ここをクリックするか、クエリの 2 行目で Sophos XG Firewall デバイスのホスト名と、ログストリームのその他の一意の識別子を入力します。 この関数は、通常、ソリューションのインストール/更新後にアクティブ化されるまでに 10 から 15 分かかります。
- Linux 用エージェントをインストールおよびオンボードする
一般的に、エージェントは、ログが生成されるコンピューターとは別のコンピューターにインストールする必要があります。
Syslog ログは Linux エージェントからのみ収集されます。
- 収集するログを構成する
収集するファシリティとその重要度を構成します。
ワークスペースの詳細設定の [構成] で、[データ] を選択し、[Syslog] を選択します。
[下の構成をコンピューターに適用する] を選択し、ファシリティと重要度を選択します。
[保存] をクリックします。
Sophos XG Firewall を構成して接続します
これらの手順に従って、syslog ストリーミングを有効にします。 Linux エージェントがインストールされている Linux デバイスの IP アドレスまたはホスト名を接続先 IP アドレスとして使用します。
次の手順
詳細については、Azure Marketplace の関連ソリューションに関するページを参照してください。