[Recomendado] Forcepoint CASB via conector AMA para Microsoft Sentinel

  • Artigo

O Forcepoint CASB (Cloud Access Security Broker) Connector permite exportar automaticamente logs e eventos CASB para o Microsoft Sentinel em tempo real. Isso enriquece a visibilidade das atividades do usuário em locais e aplicativos de nuvem, permite uma correlação adicional com dados de cargas de trabalho do Azure e outros feeds e melhora a capacidade de monitoramento com pastas de trabalho dentro do Microsoft Sentinel.

Atributos do conector

Atributo do conector Description
Tabela(s) do Log Analytics CommonSecurityLog (ForcepointCASB)
Suporte a regras de coleta de dados Azure Monitor Agent DCR
Apoiado por Community

Exemplos de consulta

Top 5 usuários com o maior número de logs

CommonSecurityLog 

| summarize Count = count() by DestinationUserName

| top 5 by DestinationUserName

| render barchart

**Top 5 Usuários por Número de Tentativas Falhadas **

CommonSecurityLog 

| extend outcome = coalesce(column_ifexists("EventOutcome", ""), tostring(split(split(AdditionalExtensions, ";", 2)[0], "=", 1)[0]), "")

| extend reason = coalesce(column_ifexists("Reason", ""), tostring(split(split(AdditionalExtensions, ";", 3)[0], "=", 1)[0]), "")

| where outcome =="Failure"

| summarize Count= count() by DestinationUserName

| render barchart

Pré-requisitos

Para integrar com o [Recomendado] Forcepoint CASB via AMA, certifique-se de:

  • : Para coletar dados de VMs que não sejam do Azure, elas devem ter o Azure Arc instalado e habilitado. Mais informações
  • : Common Event Format (CEF) via AMA e Syslog via AMA conectores de dados devem ser instalados Saiba mais

Instruções de instalação do fornecedor

Instale e configure o agente Linux para coletar suas mensagens Syslog do Common Event Format (CEF) e encaminhá-las para o Microsoft Sentinel.

Observe que os dados de todas as regiões serão armazenados no espaço de trabalho selecionado

  1. Proteja a sua máquina

Certifique-se de configurar a segurança da máquina de acordo com a política de segurança da sua organização

Saiba mais >

  1. Guia de instalação da integração do Forcepoint

Para concluir a instalação desta integração de produtos Forcepoint, siga o guia abaixo.

Guia de Instalação >

Próximos passos

Para obter mais informações, vá para a solução relacionada no Azure Marketplace.