[사용되지 않음] Microsoft Sentinel용 레거시 에이전트를 통한 Forcepoint CASB 커넥터

  • 아티클

Forcepoint CASB(클라우드 액세스 보안 브로커) 커넥터를 사용하면 CASB 로그 및 이벤트를 Microsoft Sentinel로 실시간으로 자동으로 내보낼 수 있습니다. 이렇게 하면 위치 및 클라우드 애플리케이션에서 사용자 활동에 대한 가시성을 강화하고, Azure 워크로드 및 기타 피드의 데이터와 더 많은 상관관계를 설정할 수 있으며, Microsoft Sentinel 내 통합 문서를 사용하여 모니터링 기능이 향상됩니다.

커넥터 특성

커넥터 특성 설명
Log Analytics 테이블 CommonSecurityLog(ForcepointCASB)
데이터 수집 규칙 지원 작업 영역 변환 DCR
다음에서 지원 커뮤니티

쿼리 샘플

로그 수가 가장 많은 상위 5명의 사용자

CommonSecurityLog 

| summarize Count = count() by DestinationUserName

| top 5 by DestinationUserName

| render barchart

**실패한 시도 횟수별 상위 5명의 사용자 **

CommonSecurityLog 

| extend outcome = coalesce(column_ifexists("EventOutcome", ""), tostring(split(split(AdditionalExtensions, ";", 2)[0], "=", 1)[0]), "")

| extend reason = coalesce(column_ifexists("Reason", ""), tostring(split(split(AdditionalExtensions, ";", 3)[0], "=", 1)[0]), "")

| where outcome =="Failure"

| summarize Count= count() by DestinationUserName

| render barchart

공급업체 설치 지침

  1. Linux Syslog 에이전트 구성

CEF(Common Event Format) Syslog 메시지를 수집하여 Microsoft Sentinel에 전달하도록 Linux 에이전트를 설치 및 구성합니다.

모든 지역의 데이터가 선택한 작업 영역에 저장됩니다.

1.1 Linux 머신 선택 또는 만들기

Microsoft Sentinel에서 보안 솔루션과 Microsoft Sentinel 간의 프록시로 사용할 Linux 머신을 선택하거나 만듭니다. 이 컴퓨터는 온-프레미스 환경, Azure 또는 기타 클라우드에 있을 수 있습니다.

1.2 Linux 머신에 CEF 수집기 설치

Linux 머신에 Microsoft Monitoring Agent를 설치하고 필요한 포트에서 수신 대기하고 메시지를 Microsoft Sentinel 작업 영역으로 전달하도록 컴퓨터를 구성합니다. CEF 수집기는 포트 514 TCP에서 CEF 메시지를 수집합니다.

  1. python -version 명령을 사용하여 컴퓨터에 Python이 있는지 확인합니다.
  1. 머신에 상승된 권한(sudo)이 있어야 합니다.

다음 명령을 실행하여 CEF 수집기를 설치하고 적용합니다.

sudo wget -O cef_installer.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/CEF/cef_installer.py&&sudo python cef_installer.py {0} {1}

  1. CEF(Common Event Format) 로그를 Syslog 에이전트로 전달

CEF 형식의 Syslog 메시지를 프록시 컴퓨터로 보내도록 보안 솔루션을 설정합니다. 컴퓨터 IP 주소의 TCP 포트 514로 로그를 보내도록 합니다.

  1. 연결 유효성 검사

지침에 따라 연결의 유효성을 검사합니다.

Log Analytics를 열어 CommonSecurityLog 스키마를 사용하여 로그가 수신되는지 확인합니다.

연결이 데이터를 작업 영역으로 스트리밍할 때까지 약 20분 정도 걸릴 수 있습니다.

로그가 수신되지 않으면 다음 연결 유효성 검사 스크립트를 실행합니다.

  1. python -version 명령을 사용하여 컴퓨터에 Python이 있는지 확인
  1. 컴퓨터에 대한 상승된 권한(sudo)이 있어야 함

다음 명령을 실행하여 연결의 유효성을 검사합니다.

sudo wget -O cef_troubleshoot.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/CEF/cef_troubleshoot.py&&sudo python cef_troubleshoot.py {0}

  1. 컴퓨터 보안

조직의 보안 정책에 따라 컴퓨터의 보안을 구성해야 합니다.

자세한 정보>

  1. Forcepoint 통합 설치 가이드

이 Forcepoint 제품 통합의 설치를 완료하려면 아래 연결된 지침을 따르세요.

설치 가이드>

다음 단계

자세한 내용을 보려면 Azure Marketplace의 관련 솔루션으로 이동하세요.