[Przestarzałe] Forcepoint CSG za pośrednictwem starszego łącznika agenta dla usługi Microsoft Sentinel
Ważne
Zbieranie dzienników z wielu urządzeń i urządzeń jest teraz obsługiwane przez format Common Event Format (CEF) za pośrednictwem amA, dziennika systemowego za pośrednictwem usługi AMA lub dzienników niestandardowych za pośrednictwem łącznika danych AMA w usłudze Microsoft Sentinel. Aby uzyskać więcej informacji, zobacz Znajdowanie łącznika danych usługi Microsoft Sentinel.
Forcepoint Cloud Security Gateway to konwergentna usługa zabezpieczeń w chmurze, która zapewnia widoczność, kontrolę i ochronę przed zagrożeniami dla użytkowników i danych, niezależnie od tego, gdzie się znajdują. Aby uzyskać więcej informacji, odwiedź stronę: https://www.forcepoint.com/product/cloud-security-gateway
Atrybuty łącznika
| Atrybut łącznika | opis |
|---|---|
| Tabele usługi Log Analytics | CommonSecurityLog (Forcepoint CSG) CommonSecurityLog (Forcepoint CSG) |
| Obsługa reguł zbierania danych | Przekształcanie obszaru roboczego DCR |
| Obsługiwane przez | Community |
Przykłady zapytań
5 pierwszych domen sieci Web z ważnością dziennika równym 6 (średni)
CommonSecurityLog
| where TimeGenerated <= ago(0m)
| where DeviceVendor == "Forcepoint CSG"
| where DeviceProduct == "Web"
| where LogSeverity == 6
| where DeviceCustomString2 != ""
| summarize Count=count() by DeviceCustomString2
| top 5 by Count
| render piechart
5 pierwszych użytkowników sieci Web z wartością "Akcja" równą "Zablokowane"
CommonSecurityLog
| where TimeGenerated <= ago(0m)
| where DeviceVendor == "Forcepoint CSG"
| where DeviceProduct == "Web"
| where Activity == "Blocked"
| where SourceUserID != "Not available"
| summarize Count=count() by SourceUserID
| top 5 by Count
| render piechart
5 pierwszych adresów e-mail nadawcy, na których wynik spamu jest większy niż 10,0
CommonSecurityLog
| where TimeGenerated <= ago(0m)
| where DeviceVendor == "Forcepoint CSG"
| where DeviceProduct == "Email"
| where DeviceCustomFloatingPoint1 > 10.0
| summarize Count=count() by SourceUserName
| top 5 by Count
| render barchart
Instrukcje instalacji dostawcy
- Konfiguracja agenta syslogu systemu Linux
Ta integracja wymaga, aby agent syslog systemu Linux zbierał dzienniki sieci Web/poczty e-mail bramy usługi Forcepoint Cloud Security Gateway na porcie 514 TCP jako common event format (CEF) i przekazywać je do usługi Microsoft Sentinel.
Polecenie instalacji agenta syslog łącznika danych to:
sudo wget -O cef_installer.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/CEF/cef_installer.py&&sudo python cef_installer.py {0} {1}
- Opcje implementacji
Integracja jest udostępniana za pomocą dwóch opcji implementacji.
2.1 Implementacja platformy Docker
Wykorzystuje obrazy platformy Docker, w których składnik integracji jest już zainstalowany ze wszystkimi niezbędnymi zależnościami.
Postępuj zgodnie z instrukcjami podanymi w przewodniku integracji poniżej.
2.2 Tradycyjna implementacja
Wymaga ręcznego wdrożenia składnika integracji na czystej maszynie z systemem Linux.
Postępuj zgodnie z instrukcjami podanymi w przewodniku integracji poniżej.
- Weryfikowanie połączenia
Postępuj zgodnie z instrukcjami, aby zweryfikować łączność:
Otwórz usługę Log Analytics, aby sprawdzić, czy dzienniki są odbierane przy użyciu schematu CommonSecurityLog.
Przesyłanie strumieniowe danych połączenia do obszaru roboczego może potrwać około 20 minut.
Jeśli dzienniki nie zostaną odebrane, uruchom następujący skrypt weryfikacji łączności:
- Upewnij się, że na maszynie jest używany język Python, używając następującego polecenia: python -version
- Musisz mieć uprawnienia z podwyższonym poziomem uprawnień (sudo) na maszynie
Uruchom następujące polecenie, aby zweryfikować łączność:
sudo wget -O cef_troubleshoot.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/CEF/cef_troubleshoot.py&&sudo python cef_troubleshoot.py {0}
- Zabezpieczanie maszyny
Upewnij się, że skonfigurować zabezpieczenia maszyny zgodnie z zasadami zabezpieczeń organizacji
Następne kroki
Aby uzyskać więcej informacji, przejdź do powiązanego rozwiązania w witrynie Azure Marketplace.