[Aanbevolen] Forcepoint CASB via AMA-connector voor Microsoft Sentinel
Met de Forcepoint CASB (Cloud Access Security Broker) Verbinding maken or kunt u in realtime CASB-logboeken en -gebeurtenissen automatisch exporteren naar Microsoft Sentinel. Dit verrijkt de zichtbaarheid van gebruikersactiviteiten op verschillende locaties en cloudtoepassingen, maakt verdere correlatie mogelijk met gegevens van Azure-workloads en andere feeds en verbetert de bewakingsmogelijkheden met Workbooks in Microsoft Sentinel.
Verbinding maken orkenmerken
| Verbinding maken orkenmerk | Beschrijving |
|---|---|
| Log Analytics-tabellen | CommonSecurityLog (ForcepointCASB) |
| Ondersteuning voor regels voor gegevensverzameling | Azure Monitor Agent DCR |
| Ondersteund door | Community |
Voorbeelden van query's
Top 5 gebruikers met het hoogste aantal logboeken
CommonSecurityLog
| summarize Count = count() by DestinationUserName
| top 5 by DestinationUserName
| render barchart
**Top 5 gebruikers op aantal mislukte pogingen **
CommonSecurityLog
| extend outcome = coalesce(column_ifexists("EventOutcome", ""), tostring(split(split(AdditionalExtensions, ";", 2)[0], "=", 1)[0]), "")
| extend reason = coalesce(column_ifexists("Reason", ""), tostring(split(split(AdditionalExtensions, ";", 3)[0], "=", 1)[0]), "")
| where outcome =="Failure"
| summarize Count= count() by DestinationUserName
| render barchart
Vereisten
Als u wilt integreren met [Aanbevolen] Forcepoint CASB via AMA, moet u ervoor zorgen dat u het volgende hebt:
- : Als u gegevens van niet-Azure-VM's wilt verzamelen, moet Azure Arc zijn geïnstalleerd en ingeschakeld. Meer informatie
- : Common Event Format (CEF) via AMA en Syslog via AMA-gegevensconnectors moet worden geïnstalleerd Voor meer informatie
Installatie-instructies van leverancier
Installeer en configureer de Linux-agent om uw CEF-berichten (Common Event Format) te verzamelen en door te sturen naar Microsoft Sentinel.
U ziet dat de gegevens uit alle regio's worden opgeslagen in de geselecteerde werkruimte
- Uw computer beveiligen
Zorg ervoor dat u de beveiliging van de machine configureert volgens het beveiligingsbeleid van uw organisatie
- Installatiehandleiding voor ForcePoint-integratie
Volg de onderstaande handleiding om de installatie van deze Forcepoint-productintegratie te voltooien.
Volgende stappen
Ga naar de gerelateerde oplossing in Azure Marketplace voor meer informatie.
Feedback
Binnenkort: Gedurende 2024 worden GitHub Issues uitgefaseerd als het feedbackmechanisme voor inhoud. Dit wordt vervangen door een nieuw feedbacksysteem. Ga voor meer informatie naar: https://aka.ms/ContentUserFeedback.
Feedback verzenden en bekijken voor