Partilhar via


[Preterido] Forcepoint CSG via conector Legacy Agent para Microsoft Sentinel

Importante

A coleta de logs de muitos dispositivos e dispositivos agora é suportada pelo Common Event Format (CEF) via AMA, Syslog via AMA ou Custom Logs via conector de dados AMA no Microsoft Sentinel. Para obter mais informações, veja Localizar o conector de dados do Microsoft Sentinel.

O Forcepoint Cloud Security Gateway é um serviço de segurança convergente na nuvem que fornece visibilidade, controle e proteção contra ameaças para usuários e dados, onde quer que estejam. Para mais informações, consultar: https://www.forcepoint.com/product/cloud-security-gateway

Atributos do conector

Atributo do conector Description
Tabela(s) do Log Analytics CommonSecurityLog (Forcepoint CSG)
CommonSecurityLog (Forcepoint CSG)
Suporte a regras de coleta de dados Transformar DCR no espaço de trabalho
Apoiado por Community

Exemplos de consulta

Top 5 Domínios solicitados na Web com severidade de log igual a 6 (Média)

CommonSecurityLog

| where TimeGenerated <= ago(0m)

| where DeviceVendor == "Forcepoint CSG"

| where DeviceProduct == "Web"

| where LogSeverity == 6

| where DeviceCustomString2 != ""

| summarize Count=count() by DeviceCustomString2

| top 5 by Count

| render piechart

Top 5 Web Users com 'Ação' igual a 'Bloqueado'

CommonSecurityLog

| where TimeGenerated <= ago(0m)

| where DeviceVendor == "Forcepoint CSG"

| where DeviceProduct == "Web"

| where Activity == "Blocked"

| where SourceUserID != "Not available"

| summarize Count=count() by SourceUserID

| top 5 by Count

| render piechart

Top 5 endereços de e-mail do remetente onde a pontuação de spam maior que 10,0

CommonSecurityLog

| where TimeGenerated <= ago(0m)

| where DeviceVendor == "Forcepoint CSG"

| where DeviceProduct == "Email"

| where DeviceCustomFloatingPoint1 > 10.0

| summarize Count=count() by SourceUserName

| top 5 by Count

| render barchart

Instruções de instalação do fornecedor

  1. Configuração do agente Linux Syslog

Essa integração requer que o agente Linux Syslog colete seus logs de Web/Email do Forcepoint Cloud Security Gateway na porta 514 TCP como CEF (Common Event Format) e os encaminhe para o Microsoft Sentinel.

O comando de instalação do agente Syslog do conector de dados é:

sudo wget -O cef_installer.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/CEF/cef_installer.py&&sudo python cef_installer.py {0} {1}

  1. Opções de implementação

A integração é disponibilizada com duas opções de implementação.

2.1 Implementação do Docker

Aproveita imagens do docker onde o componente de integração já está instalado com todas as dependências necessárias.

Siga as instruções fornecidas no Guia de Integração link abaixo.

Guia de Integração >

2.2 Implementação tradicional

Requer a implantação manual do componente de integração dentro de uma máquina Linux limpa.

Siga as instruções fornecidas no Guia de Integração link abaixo.

Guia de Integração >

  1. Validar conexão

Siga as instruções para validar sua conectividade:

Abra o Log Analytics para verificar se os logs são recebidos usando o esquema CommonSecurityLog.

Pode levar cerca de 20 minutos até que a conexão transmita dados para seu espaço de trabalho.

Se os logs não forem recebidos, execute o seguinte script de validação de conectividade:

  1. Certifique-se de ter Python em sua máquina usando o seguinte comando: python -version
  1. Você deve ter permissões elevadas (sudo) em sua máquina

Execute o seguinte comando para validar sua conectividade:

sudo wget -O cef_troubleshoot.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/CEF/cef_troubleshoot.py&&sudo python cef_troubleshoot.py {0}

  1. Proteja a sua máquina

Certifique-se de configurar a segurança da máquina de acordo com a política de segurança da sua organização

Mais informações.>

Próximos passos

Para obter mais informações, vá para a solução relacionada no Azure Marketplace.