[Aanbevolen] Forcepoint NGFW via AMA-connector voor Microsoft Sentinel
Met de Forcepoint NGFW-connector (Next Generation Firewall) kunt u in realtime automatisch door de gebruiker gedefinieerde Forcepoint NGFW-logboeken exporteren naar Microsoft Sentinel. Dit vergroot de zichtbaarheid van gebruikersactiviteiten die zijn vastgelegd door NGFW, maakt verdere correlatie mogelijk met gegevens van Azure-workloads en andere feeds en verbetert de bewakingsmogelijkheden met Werkmappen in Microsoft Sentinel.
Verbinding maken orkenmerken
| Verbinding maken orkenmerk | Beschrijving |
|---|---|
| Log Analytics-tabellen | CommonSecurityLog (ForcePointNGFW) |
| Ondersteuning voor regels voor gegevensverzameling | Azure Monitor Agent DCR |
| Ondersteund door | Community |
Voorbeelden van query's
Alle beëindigde acties van de Forcepoint NGFW weergeven
CommonSecurityLog
| where DeviceVendor == "Forcepoint"
| where DeviceProduct == "NGFW"
| where DeviceAction == "Terminate"
Alle Forcepoint NGFW met verdacht inbreukgedrag weergeven
CommonSecurityLog
| where DeviceVendor == "Forcepoint"
| where DeviceProduct == "NGFW"
| where Activity contains "compromise"
Grafiekgroeperen van alle Forcepoint NGFW-gebeurtenissen per activiteitstype
CommonSecurityLog
| where DeviceVendor == "Forcepoint"
| where DeviceProduct == "NGFW"
| summarize count=count() by Activity
| render barchart
Vereisten
Als u wilt integreren met [Aanbevolen] Forcepoint NGFW via AMA, moet u ervoor zorgen dat u het volgende hebt:
- : Als u gegevens van niet-Azure-VM's wilt verzamelen, moet Azure Arc zijn geïnstalleerd en ingeschakeld. Meer informatie
- : Common Event Format (CEF) via AMA en Syslog via AMA-gegevensconnectors moet worden geïnstalleerd Voor meer informatie
Installatie-instructies van leverancier
Installeer en configureer de Linux-agent om uw CEF-berichten (Common Event Format) te verzamelen en door te sturen naar Microsoft Sentinel.
U ziet dat de gegevens uit alle regio's worden opgeslagen in de geselecteerde werkruimte
- Uw computer beveiligen
Zorg ervoor dat u de beveiliging van de machine configureert volgens het beveiligingsbeleid van uw organisatie
- Installatiehandleiding voor ForcePoint-integratie
Volg de onderstaande handleiding om de installatie van deze Forcepoint-productintegratie te voltooien.
Volgende stappen
Ga naar de gerelateerde oplossing in Azure Marketplace voor meer informatie.
Feedback
Binnenkort beschikbaar: In de loop van 2024 zullen we GitHub-problemen geleidelijk uitfaseren als het feedbackmechanisme voor inhoud en deze vervangen door een nieuw feedbacksysteem. Zie voor meer informatie: https://aka.ms/ContentUserFeedback.
Feedback verzenden en weergeven voor