Microsoft Sentinel용 WatchGuard Firebox 커넥터
WatchGuard Firebox(https://www.watchguard.com/wgrd-products/firewall-appliances 및 https://www.watchguard.com/wgrd-products/cloud-and-virtual-firewalls)는 보안 제품/방화벽 어플라이언스입니다. Watchguard Firebox는 Watchguard Firebox 수집기 에이전트에 syslog를 보냅니다. 그런 다음 에이전트는 메시지를 작업 영역으로 보냅니다.
커넥터 특성
| 커넥터 특성 | Description |
|---|---|
| Log Analytics 테이블 | Syslog(WatchGuardFirebox) |
| 데이터 수집 규칙 지원 | 작업 영역 변환 DCR |
| 지원 요소 | WatchGuard |
쿼리 샘플
지난 24시간 동안 상위 10개 Firebox
WatchGuardFirebox
| where TimeGenerated >= ago(24h)
| summarize count() by HostName
| top 10 by count_ desc
지난 24시간 동안 WatchGuard-XTM 상위 10개 메시지라는 Firebox
WatchGuardFirebox
| where HostName contains 'WatchGuard-XTM'
| where TimeGenerated >= ago(24h)
| summarize count() by MessageId
| top 10 by count_ desc
지난 24시간 동안 WatchGuard-XTM 상위 10개 애플리케이션이라는 Firebox
WatchGuardFirebox
| where HostName contains 'WatchGuard-XTM'
| where TimeGenerated >= ago(24h)
| summarize count() by Application
| top 10 by count_ desc
공급업체 설치 지침
참고: 이 데이터 커넥터는 Kusto 함수를 기반으로 하는 파서에 따라 솔루션의 일부로 배포되는 예상대로 작동합니다. Log Analytics에서 함수 코드를 보려면 Log Analytics/Microsoft Sentinel 로그 블레이드를 열고 함수를 클릭하고 별칭 WatchGuardFirebox를 검색하고 함수 코드를 로드하거나 쿼리의 두 번째 줄에서 여기 를 클릭하고 WatchGuard Firebox 디바이스의 호스트 이름 및 로그스트림에 대한 기타 고유 식별자를 입력합니다. 함수는 일반적으로 솔루션 설치/업데이트 후 활성화하는 데 10~15분이 걸립니다.
- Linux용 에이전트 설치 및 온보딩
일반적으로 로그가 생성된 컴퓨터와 다른 컴퓨터에 에이전트를 설치해야 합니다.
Syslog 로그는 Linux 에이전트에서만 수집됩니다.
- 수집할 로그 구성
수집하려는 시설 및 해당 심각도를 구성합니다.
- 작업 영역 고급 설정 구성에서 데이터를 선택한 다음 Syslog를 선택합니다.
- 내 컴퓨터에 아래 구성 적용을 선택하고 기능 및 심각도를 선택합니다.
- 저장을 클릭합니다.
다음 단계
자세한 내용은 Azure Marketplace 관련 솔루션으로 이동합니다.