Łącznik Zapory SonicWall dla usługi Microsoft Sentinel
Common Event Format (CEF) to standardowy format branżowy komunikatów dziennika systemowego używany przez SonicWall w celu umożliwienia współdziałania zdarzeń między różnymi platformami. Łącząc dzienniki CEF z usługą Microsoft Sentinel, możesz skorzystać z funkcji wyszukiwania i korelacji, alertów i wzbogacania analizy zagrożeń dla każdego dziennika.
Jest to automatycznie wygenerowana zawartość. W przypadku zmian skontaktuj się z dostawcą rozwiązania.
atrybuty Połączenie or
| atrybut Połączenie or | opis |
|---|---|
| Tabele usługi Log Analytics | CommonSecurityLog (SonicWall) |
| Obsługa reguł zbierania danych | Przekształcanie obszaru roboczego DCR |
| Obsługiwane przez | Sonicwall |
Przykłady zapytań
Wszystkie dzienniki
CommonSecurityLog
| where DeviceVendor == "SonicWall"
| sort by TimeGenerated desc
Podsumowywanie według docelowego adresu IP i portu
CommonSecurityLog
| where DeviceVendor == "SonicWall"
| summarize count() by DestinationIP, DestinationPort, TimeGenerated
| sort by TimeGenerated desc
Pokaż cały porzucony ruch z zapory SonicWall
CommonSecurityLog
| where DeviceVendor == "SonicWall"
| where AdditionalExtensions contains "fw_action='drop'"
Instrukcje instalacji dostawcy
- Konfiguracja agenta syslogu systemu Linux
Zainstaluj i skonfiguruj agenta systemu Linux w celu zbierania komunikatów dziennika systemu Common Event Format (CEF) i przekazywania ich do usługi Microsoft Sentinel.
Zwróć uwagę, że dane ze wszystkich regionów będą przechowywane w wybranym obszarze roboczym 1.1 Wybierz lub utwórz maszynę z systemem Linux.
Wybierz lub utwórz maszynę z systemem Linux, która będzie używana przez usługę Microsoft Sentinel jako serwer proxy między rozwiązaniem zabezpieczeń a usługą Microsoft Sentinel, może znajdować się w środowisku lokalnym, na platformie Azure lub w innych chmurach.
1.2 Instalowanie modułu zbierającego CEF na maszynie z systemem Linux
Zainstaluj program Microsoft Monitoring Agent na maszynie z systemem Linux i skonfiguruj maszynę do nasłuchiwania na wymaganym porcie i przekazywania komunikatów do obszaru roboczego usługi Microsoft Sentinel. Moduł zbierający CEF zbiera komunikaty CEF na porcie 514 TCP.
Upewnij się, że na maszynie jest używany język Python, używając następującego polecenia: python -version.
Musisz mieć uprawnienia z podwyższonym poziomem uprawnień (sudo) na maszynie. Uruchom następujące polecenie, aby zainstalować i zastosować moduł zbierający CEF:
sudo wget -O cef_installer.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/CEF/cef_installer.py&&sudo python cef_installer.py [Workspace ID] [Workspace Primary Key]Przekazywanie dzienników protokołu SonicWall Firewall Common Event Format (CEF) do agenta syslog
Ustaw zaporę SonicWall, aby wysyłała komunikaty dziennika systemowego w formacie CEF do maszyny proxy. Upewnij się, że dzienniki są wysyłane do portu 514 TCP na adresIE IP maszyny.
Postępuj zgodnie z instrukcjami. Następnie upewnij się, że wybrano opcję lokalnego użycia 4 jako obiektu. Następnie wybierz pozycję ArcSight jako format dziennika systemowego.
Weryfikowanie połączenia
Postępuj zgodnie z instrukcjami, aby zweryfikować łączność:
Otwórz usługę Log Analytics, aby sprawdzić, czy dzienniki są odbierane przy użyciu schematu CommonSecurityLog.
Przesyłanie strumieniowe danych połączenia do obszaru roboczego może potrwać około 20 minut. Jeśli dzienniki nie zostaną odebrane, uruchom następujący skrypt weryfikacji łączności:
Upewnij się, że na maszynie jest używany język Python, używając następującego polecenia: python -version
Musisz mieć uprawnienia z podwyższonym poziomem uprawnień (sudo) na maszynie Uruchom następujące polecenie, aby zweryfikować łączność:
sudo wget -O cef_troubleshoot.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/CEF/cef_troubleshoot.py&&sudo python cef_troubleshoot.py [Workspace ID]Zabezpieczanie maszyny
Pamiętaj, aby skonfigurować zabezpieczenia maszyny zgodnie z zasadami zabezpieczeń organizacji.
Następne kroki
Aby uzyskać więcej informacji, przejdź do powiązanego rozwiązania w witrynie Azure Marketplace.