[Preterido] Forcepoint CASB via conector AMA para Microsoft Sentinel
Importante
A coleta de logs de muitos dispositivos e dispositivos agora é suportada pelo Common Event Format (CEF) via AMA, Syslog via AMA ou Custom Logs via conector de dados AMA no Microsoft Sentinel. Para obter mais informações, veja Localizar o conector de dados do Microsoft Sentinel.
O Forcepoint CASB (Cloud Access Security Broker) Connector permite exportar automaticamente logs e eventos CASB para o Microsoft Sentinel em tempo real. Isso enriquece a visibilidade das atividades do usuário em locais e aplicativos de nuvem, permite uma correlação adicional com dados de cargas de trabalho do Azure e outros feeds e melhora a capacidade de monitoramento com pastas de trabalho dentro do Microsoft Sentinel.
Trata-se de conteúdo gerado automaticamente. Para alterações, entre em contato com o provedor da solução.
Atributos do conector
| Atributo do conector | Description |
|---|---|
| Tabela(s) do Log Analytics | CommonSecurityLog (ForcepointCASB) |
| Suporte a regras de coleta de dados | Transformar DCR no espaço de trabalho |
| Apoiado por | Community |
Exemplos de consulta
Top 5 usuários com o maior número de logs
CommonSecurityLog
| summarize Count = count() by DestinationUserName
| top 5 by DestinationUserName
| render barchart
**Top 5 Usuários por Número de Tentativas Falhadas **
CommonSecurityLog
| extend outcome = coalesce(column_ifexists("EventOutcome", ""), tostring(split(split(AdditionalExtensions, ";", 2)[0], "=", 1)[0]), "")
| extend reason = coalesce(column_ifexists("Reason", ""), tostring(split(split(AdditionalExtensions, ";", 3)[0], "=", 1)[0]), "")
| where outcome =="Failure"
| summarize Count= count() by DestinationUserName
| render barchart
Pré-requisitos
Para integrar com o Forcepoint CASB [Preterido] via AMA, certifique-se de:
- : Para coletar dados de VMs que não sejam do Azure, elas devem ter o Azure Arc instalado e habilitado. Mais informações
- : Common Event Format (CEF) via AMA e Syslog via AMA conectores de dados devem ser instalados Saiba mais
Instruções de instalação do fornecedor
Instale e configure o agente Linux para coletar suas mensagens Syslog do Common Event Format (CEF) e encaminhá-las para o Microsoft Sentinel.
Observe que os dados de todas as regiões serão armazenados no espaço de trabalho selecionado
- Proteja a sua máquina
Certifique-se de configurar a segurança da máquina de acordo com a política de segurança da sua organização
- Guia de instalação da integração do Forcepoint
Para concluir a instalação desta integração de produtos Forcepoint, siga o guia abaixo.
Próximos passos
Para obter mais informações, vá para a solução relacionada no Azure Marketplace.