Udostępnij za pośrednictwem

[Przestarzałe] Łącznik WatchGuard Firebox dla usługi Microsoft Sentinel

  • Artykuł

Ważne

Zbieranie dzienników z wielu urządzeń i urządzeń jest teraz obsługiwane przez format Common Event Format (CEF) za pośrednictwem amA, dziennika systemowego za pośrednictwem usługi AMA lub dzienników niestandardowych za pośrednictwem łącznika danych AMA w usłudze Microsoft Sentinel. Aby uzyskać więcej informacji, zobacz Znajdowanie łącznika danych usługi Microsoft Sentinel.

WatchGuard Firebox (https://www.watchguard.com/wgrd-products/firewall-appliances i https://www.watchguard.com/wgrd-products/cloud-and-virtual-firewalls) to produkty zabezpieczające/urządzenia zapory. Straż straży straży pożarnej wyśle dziennik syslog do agenta modułu zbierającego Straży Straży Pożarnej. Następnie agent wysyła komunikat do obszaru roboczego.

Jest to automatycznie wygenerowana zawartość. W przypadku zmian skontaktuj się z dostawcą rozwiązania.

Atrybuty łącznika

Atrybut łącznika opis
Tabele usługi Log Analytics Syslog (WatchGuardFirebox)
Obsługa reguł zbierania danych Przekształcanie obszaru roboczego DCR
Obsługiwane przez WatchGuard

Przykłady zapytań

Najlepsze 10 Fireboxes w ciągu ostatnich 24 godzin

WatchGuardFirebox

| where TimeGenerated >= ago(24h)

| summarize count() by HostName

| top 10 by count_ desc

Firebox o nazwie WatchGuard-XTM 10 pierwszych komunikatów w ciągu ostatnich 24 godzin

WatchGuardFirebox

| where HostName contains 'WatchGuard-XTM'

| where TimeGenerated >= ago(24h)

| summarize count() by MessageId

| top 10 by count_ desc

Firebox o nazwie WatchGuard-XTM top 10 aplikacji w ciągu ostatnich 24 godzin

WatchGuardFirebox

| where HostName contains 'WatchGuard-XTM'

| where TimeGenerated >= ago(24h)

| summarize count() by Application

| top 10 by count_ desc

Instrukcje instalacji dostawcy

UWAGA: Ten łącznik danych zależy od analizatora opartego na funkcji Kusto działającej zgodnie z oczekiwaniami, która jest wdrażana w ramach rozwiązania. Aby wyświetlić kod funkcji w usłudze Log Analytics, otwórz blok Dzienniki usługi Log Analytics/Microsoft Sentinel, kliknij pozycję Funkcje i wyszukaj alias WatchGuardFirebox i załaduj kod funkcji lub kliknij tutaj w drugim wierszu zapytania, wprowadź nazwy hostów urządzeń WatchGuard Firebox i inne unikatowe identyfikatory dla strumienia dziennika. Aktywacja funkcji zwykle trwa od 10 do 15 minut po zainstalowaniu/aktualizacji rozwiązania.

  1. Instalowanie i dołączanie agenta dla systemu Linux

Zazwyczaj należy zainstalować agenta na innym komputerze niż ten, na którym są generowane dzienniki.

Dzienniki dziennika systemowego są zbierane tylko z agentów systemu Linux .

  1. Konfigurowanie dzienników do zebrania

Skonfiguruj obiekty, które chcesz zbierać, i ich ważności.

  1. W obszarze Konfiguracja ustawień zaawansowanych obszaru roboczego wybierz pozycję Dane, a następnie Pozycję Syslog.
  2. Wybierz pozycję Zastosuj poniżej konfiguracji do moich maszyn i wybierz obiekty i ważność.
  3. Kliknij przycisk Zapisz.

Następne kroki

Aby uzyskać więcej informacji, przejdź do powiązanego rozwiązania w witrynie Azure Marketplace.