[Afgeschaft] Forcepoint CSG via legacy agent-connector voor Microsoft Sentinel
Forcepoint Cloud Security Gateway is een geconvergeerde cloudbeveiligingsservice die zichtbaarheid, controle en bedreigingsbeveiliging biedt voor gebruikers en gegevens, waar ze zich ook bevinden. Ga voor meer informatie naar: https://www.forcepoint.com/product/cloud-security-gateway
Verbinding maken orkenmerken
| Verbinding maken orkenmerk | Beschrijving |
|---|---|
| Log Analytics-tabellen | CommonSecurityLog (Forcepoint CSG) CommonSecurityLog (Forcepoint CSG) |
| Ondersteuning voor regels voor gegevensverzameling | DCR voor werkruimtetransformatie |
| Ondersteund door | Community |
Voorbeelden van query's
Top 5 aangevraagde domeinen met de ernst van logboeken gelijk aan 6 (gemiddeld)
CommonSecurityLog
| where TimeGenerated <= ago(0m)
| where DeviceVendor == "Forcepoint CSG"
| where DeviceProduct == "Web"
| where LogSeverity == 6
| where DeviceCustomString2 != ""
| summarize Count=count() by DeviceCustomString2
| top 5 by Count
| render piechart
Top 5 webgebruikers met 'Actie' gelijk aan 'Geblokkeerd'
CommonSecurityLog
| where TimeGenerated <= ago(0m)
| where DeviceVendor == "Forcepoint CSG"
| where DeviceProduct == "Web"
| where Activity == "Blocked"
| where SourceUserID != "Not available"
| summarize Count=count() by SourceUserID
| top 5 by Count
| render piechart
Top 5 afzender-e-mailadressen waarbij spamscore groter is dan 10.0
CommonSecurityLog
| where TimeGenerated <= ago(0m)
| where DeviceVendor == "Forcepoint CSG"
| where DeviceProduct == "Email"
| where DeviceCustomFloatingPoint1 > 10.0
| summarize Count=count() by SourceUserName
| top 5 by Count
| render barchart
Installatie-instructies van leverancier
- Configuratie van Linux Syslog-agent
Voor deze integratie moet de Linux Syslog-agent uw web-/e-maillogboeken van Forcepoint Cloud Security Gateway verzamelen op poort 514 TCP als CEF (Common Event Format) en deze doorsturen naar Microsoft Sentinel.
Uw gegevens Verbinding maken or de installatieopdracht van de Syslog-agent is:
sudo wget -O cef_installer.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/CEF/cef_installer.py&&sudo python cef_installer.py {0} {1}
- Implementatie-opties
De integratie wordt beschikbaar gesteld met twee implementatieopties.
2.1 Docker-implementatie
Maakt gebruik van Docker-installatiekopieën waarbij het integratieonderdeel al is geïnstalleerd met alle benodigde afhankelijkheden.
Volg de instructies in de onderstaande integratiehandleiding.
2.2 Traditionele implementatie
Vereist de handmatige implementatie van het integratieonderdeel op een schone Linux-machine.
Volg de instructies in de onderstaande integratiehandleiding.
- Verbinding valideren
Volg de instructies om uw connectiviteit te valideren:
Open Log Analytics om te controleren of de logboeken worden ontvangen met behulp van het CommonSecurityLog-schema.
Het kan ongeveer 20 minuten duren voordat de verbinding gegevens naar uw werkruimte streamt.
Als de logboeken niet worden ontvangen, voert u het volgende verbindingsvalidatiescript uit:
- Zorg ervoor dat u Python op uw computer hebt met behulp van de volgende opdracht: python -version
- U moet verhoogde machtigingen (sudo) hebben op uw computer
Voer de volgende opdracht uit om uw connectiviteit te valideren:
sudo wget -O cef_troubleshoot.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/CEF/cef_troubleshoot.py&&sudo python cef_troubleshoot.py {0}
- Uw computer beveiligen
Zorg ervoor dat u de beveiliging van de machine configureert volgens het beveiligingsbeleid van uw organisatie
Volgende stappen
Ga naar de gerelateerde oplossing in Azure Marketplace voor meer informatie.