[非推奨]Microsoft Sentinel 用 WatchGuard の Azure コネクタ
重要
多くのアプライアンスおよびデバイスからのログ収集が、AMA 経由の Common Event Format (CEF)、AMA 経由の Syslog、または Microsoft Sentinel の AMA データ コネクタ経由のカスタム ログでサポートされるようになりました。 詳細については、「Microsoft Sentinel データ コネクタを見つける」を参照してください。
WatchGuard Firebox (https://www.watchguard.com/wgrd-products/firewall-appliances と https://www.watchguard.com/wgrd-products/cloud-and-virtual-firewalls) は、セキュリティ製品またはファイアウォール アプライアンスです。 Watchguard Firebox は、Watchguard Firebox コレクター エージェントに syslog を送信し、その後、メッセージをワークスペースに送信します。
これは自動生成されたコンテンツです。 変更については、ソリューション プロバイダーにお問い合わせください。
コネクタの属性
コネクタ属性 | 説明 |
---|---|
Log Analytics テーブル | Syslog (WatchGuardFirebox) |
データ収集ルールのサポート | ワークスペース変換 DCR |
サポートしているもの | WatchGuard |
クエリのサンプル
過去 24 時間以内の上位 10 Firebox
WatchGuardFirebox
| where TimeGenerated >= ago(24h)
| summarize count() by HostName
| top 10 by count_ desc
過去 24 時間以内の、WatchGuard-XTM という名前の Firebox の上位 10 のメッセージ
WatchGuardFirebox
| where HostName contains 'WatchGuard-XTM'
| where TimeGenerated >= ago(24h)
| summarize count() by MessageId
| top 10 by count_ desc
過去 24 時間以内の、WatchGuard-XTM という名前の Firebox の上位 10 のアプリケーション
WatchGuardFirebox
| where HostName contains 'WatchGuard-XTM'
| where TimeGenerated >= ago(24h)
| summarize count() by Application
| top 10 by count_ desc
ベンダーのインストール手順
注: このデータ コネクタは、ソリューションの一部としてデプロイされている Kusto 関数に基づくパーサーを利用して正常に動作します。 Log Analytics で関数コードを表示するには、Log Analytics/Microsoft Sentinel ログ ブレードを開き、関数をクリックし、エイリアスWatchGuardFirebox を検索して関数コードを読み込みます。または、ここをクリックして、クエリの 2 行目に WatchGuardFirebox デバイスのホスト名と、ログストリームの他の一意の識別子を入力します。 この関数は、通常、ソリューションのインストール/更新後にアクティブ化されるまでに 10 から 15 分かかります。
- Linux 用エージェントをインストールおよびオンボードする
一般的に、エージェントは、ログが生成されるコンピューターとは別のコンピューターにインストールする必要があります。
Syslog ログは Linux エージェントからのみ収集されます。
- 収集するログを構成する
収集するファシリティとその重要度を構成します。
- ワークスペースの詳細設定の [構成] で、[データ] を選択し、[Syslog] を選択します。
- [下の構成をコンピューターに適用する] を選択し、ファシリティと重要度を選択します。
- [保存] をクリックします。
次のステップ
詳細については、Azure Marketplace の関連ソリューションに関するページを参照してください。