Microsoft Sentinel용 Barracuda CloudGen 방화벽 커넥터
Barracuda CGFW(CloudGen Firewall) 커넥터를 사용하면 Barracuda CGFW 로그를 Microsoft Sentinel에 쉽게 연결하여 대시보드를 보고, 사용자 지정 경고를 만들고, 조사를 개선할 수 있습니다. 이렇게 하면 조직의 네트워크에 대한 인사이트를 더 많이 얻을 수 있고 보안 작업 기능이 향상됩니다.
커넥트or 특성
| 커넥터 특성 | 설명 |
|---|---|
| Log Analytics 테이블 | Syslog(Barracuda) |
| 데이터 수집 규칙 지원 | 작업 영역 변환 DCR |
| 지원: | 커뮤니티 |
쿼리 샘플
모든 로그
CGFWFirewallActivity
| sort by TimeGenerated
상위 10명의 활성 사용자(지난 24시간)
CGFWFirewallActivity
| extend User = coalesce(User, "Unauthenticated")
| summarize count() by User
| take 10
상위 10개 애플리케이션(지난 24시간)
CGFWFirewallActivity
| where isnotempty(Application)
| summarize count() by Application
| take 10
필수 조건
Barracuda CloudGen 방화벽과 통합하려면 다음이 있는지 확인합니다.
- Barracuda CloudGen 방화벽: Syslog를 통해 로그를 내보내도록 구성해야 합니다.
공급업체 설치 지침
참고: 이 데이터 커넥터는 Kusto 함수를 기반으로 하는 파서에 따라 솔루션의 일부로 배포되는 예상대로 작동합니다. Log Analytics에서 함수 코드를 보려면 Log Analytics/Microsoft Sentinel 로그 블레이드를 열고 함수를 클릭하고 별칭 CGFWFirewallActivity를 검색하고 함수 코드를 로드하거나 여기를 클릭합니다. 이 함수는 일반적으로 솔루션 설치/업데이트 후 활성화하는 데 10-15분이 걸립니다.
Linux용 에이전트 설치 및 온보딩
일반적으로 로그가 생성되는 컴퓨터와 다른 컴퓨터에 에이전트를 설치해야 합니다.
Syslog 로그는 Linux 에이전트에서만 수집됩니다.
수집할 로그 구성
수집할 기능과 해당 심각도를 구성합니다.
- 작업 영역 고급 설정 구성에서 데이터를 선택한 다음 Syslog를 선택합니다.
- 내 컴퓨터에 아래 구성 적용을 선택하고 기능 및 심각도를 선택합니다.
- 저장을 클릭합니다.
Barracuda CloudGen 방화벽 구성 및 연결
지침에 따라 syslog 스트리밍을 구성합니다. 대상 IP 주소에 대해 설치된 Microsoft Sentinel 에이전트를 사용하여 Linux 컴퓨터의 IP 주소 또는 호스트 이름을 사용합니다.
다음 단계
자세한 내용은 Azure Marketplace의 관련 솔루션 으로 이동하세요.