Conector Firebox WatchGuard para Microsoft Sentinel
WatchGuard Firebox (https://www.watchguard.com/wgrd-products/firewall-appliances e https://www.watchguard.com/wgrd-products/cloud-and-virtual-firewalls) são produtos de segurança/firewall-appliances. O Watchguard Firebox enviará syslog para o agente coletor do Watchguard Firebox. Em seguida, o agente envia a mensagem para o espaço de trabalho.
Trata-se de conteúdo gerado automaticamente. Para alterações, entre em contato com o provedor da solução.
Atributos do conector
Atributo do conector | Description |
---|---|
Tabela(s) do Log Analytics | Syslog (WatchGuardFirebox) |
Suporte a regras de coleta de dados | Transformar DCR no espaço de trabalho |
Apoiado por | Guarda de Vigia |
Exemplos de consulta
Top 10 Fireboxes nas últimas 24 horas
WatchGuardFirebox
| where TimeGenerated >= ago(24h)
| summarize count() by HostName
| top 10 by count_ desc
Firebox nomeada WatchGuard-XTM top 10 mensagens nas últimas 24 horas
WatchGuardFirebox
| where HostName contains 'WatchGuard-XTM'
| where TimeGenerated >= ago(24h)
| summarize count() by MessageId
| top 10 by count_ desc
Firebox nomeada WatchGuard-XTM top 10 aplicações nas últimas 24 horas
WatchGuardFirebox
| where HostName contains 'WatchGuard-XTM'
| where TimeGenerated >= ago(24h)
| summarize count() by Application
| top 10 by count_ desc
Instruções de instalação do fornecedor
NOTA: Este conector de dados depende de um analisador baseado numa Função Kusto para funcionar como esperado, que é implementado como parte da solução. Para visualizar o código da função no Log Analytics, abra a folha Log Analytics/Microsoft Sentinel Logs, clique em Funções e procure o alias WatchGuardFirebox e carregue o código da função ou clique aqui na segunda linha da consulta, insira o(s) nome(s) do(s) host(s) do(s) seu(s) dispositivo(s) WatchGuard Firebox e quaisquer outros identificadores exclusivos para o logstream. A função geralmente leva de 10 a 15 minutos para ser ativada após a instalação/atualização da solução.
- Instalar e integrar o agente para Linux
Normalmente, você deve instalar o agente em um computador diferente daquele em que os logs são gerados.
Os logs do Syslog são coletados somente de agentes Linux .
- Configurar os logs a serem coletados
Configure as instalações que deseja coletar e suas gravidades.
- Em Configurações avançadas do espaço de trabalho Configuração, selecione Dados e, em seguida, Syslog.
- Selecione Aplicar configuração abaixo às minhas máquinas e selecione as instalações e gravidades.
- Clique em Guardar.
Próximos passos
Para obter mais informações, vá para a solução relacionada no Azure Marketplace.
Comentários
https://aka.ms/ContentUserFeedback.
Brevemente: Ao longo de 2024, vamos descontinuar progressivamente o GitHub Issues como mecanismo de feedback para conteúdos e substituí-lo por um novo sistema de feedback. Para obter mais informações, veja:Submeter e ver comentários