[사용되지 않음] Microsoft Sentinel용 WatchGuard Firebox 커넥터

Important

이제 많은 어플라이언스 및 디바이스의 로그 수집이 Microsoft Sentinel의 AMA를 통한 CEF(Common Event Format), AMA를 통한 Syslog 또는 AMA 데이터 커넥터를 통한 사용자 지정 로그에서 지원됩니다. 자세한 내용은 Microsoft Sentinel 데이터 커넥터 찾기를 참조하세요.

WatchGuard Firebox(https://www.watchguard.com/wgrd-products/firewall-appliances 및 https://www.watchguard.com/wgrd-products/cloud-and-virtual-firewalls)는 보안 제품/방화벽 어플라이언스입니다. Watchguard Firebox는 Watchguard Firebox 수집기 에이전트에 syslog를 보냅니다. 그런 다음 에이전트는 메시지를 작업 영역으로 보냅니다.

자동 생성된 콘텐츠입니다. 변경은 솔루션 공급자에게 문의하세요.

커넥터 특성

커넥터 특성	설명
Log Analytics 테이블	Syslog(WatchGuardFirebox)
데이터 수집 규칙 지원	작업 영역 변환 DCR
다음에서 지원	WatchGuard

쿼리 샘플

지난 24시간 동안 상위 10개 Firebox

WatchGuardFirebox

| where TimeGenerated >= ago(24h)

| summarize count() by HostName

| top 10 by count_ desc

지난 24시간 동안 WatchGuard-XTM로 명명된 Firebox의 상위 10개 메시지

WatchGuardFirebox

| where HostName contains 'WatchGuard-XTM'

| where TimeGenerated >= ago(24h)

| summarize count() by MessageId

| top 10 by count_ desc

지난 24시간 동안 WatchGuard-XTM로 명명된 Firebox의 상위 10개 애플리케이션

WatchGuardFirebox

| where HostName contains 'WatchGuard-XTM'

| where TimeGenerated >= ago(24h)

| summarize count() by Application

| top 10 by count_ desc

공급업체 설치 지침

참고: 이 데이터 커넥터는 솔루션의 일부로 배포되는 Kusto 함수 기반 파서에 따라 예상대로 작동합니다. Log Analytics에서 함수 코드를 보려면 Log Analytics/Microsoft Sentinel Logs 블레이드를 열고, 함수를 클릭하고, WatchGuardFirebox 별칭을 검색하고, 함수 코드를 로드하거나 여기를 클릭하고, 쿼리의 두 번째 줄에 WatchGuardFirebox 디바이스의 호스트 이름과 로그 스트림의 기타 고유 식별자를 입력합니다. 솔루션 설치/업데이트 후 함수가 활성화되는 데 일반적으로 10~15분이 소요됩니다.

1. Linux용 에이전트 설치 및 온보딩

일반적으로 로그가 생성되는 컴퓨터와 다른 컴퓨터에 에이전트를 설치해야 합니다.

Syslog 로그는 Linux 에이전트에서만 수집됩니다.

2. 수집할 로그 구성

수집할 기능과 해당 심각도를 구성합니다.

1. 작업 영역 고급 설정 구성에서 데이터를 선택한 다음 Syslog를 선택합니다.
2. 내 컴퓨터에 아래 구성 적용을 선택하고 시설 및 심각도를 선택합니다.
3. 저장을 클릭합니다.

다음 단계

자세한 내용을 보려면 Azure Marketplace의 관련 솔루션으로 이동합니다.