[Preterido] Forcepoint CSG via conector Legacy Agent para Microsoft Sentinel
Importante
A coleta de logs de muitos dispositivos e dispositivos agora é suportada pelo Common Event Format (CEF) via AMA, Syslog via AMA ou Custom Logs via conector de dados AMA no Microsoft Sentinel. Para obter mais informações, veja Localizar o conector de dados do Microsoft Sentinel.
O Forcepoint Cloud Security Gateway é um serviço de segurança convergente na nuvem que fornece visibilidade, controle e proteção contra ameaças para usuários e dados, onde quer que estejam. Para mais informações, consultar: https://www.forcepoint.com/product/cloud-security-gateway
Atributos do conector
| Atributo do conector | Description |
|---|---|
| Tabela(s) do Log Analytics | CommonSecurityLog (Forcepoint CSG) CommonSecurityLog (Forcepoint CSG) |
| Suporte a regras de coleta de dados | Transformar DCR no espaço de trabalho |
| Apoiado por | Community |
Exemplos de consulta
Top 5 Domínios solicitados na Web com severidade de log igual a 6 (Média)
CommonSecurityLog
| where TimeGenerated <= ago(0m)
| where DeviceVendor == "Forcepoint CSG"
| where DeviceProduct == "Web"
| where LogSeverity == 6
| where DeviceCustomString2 != ""
| summarize Count=count() by DeviceCustomString2
| top 5 by Count
| render piechart
Top 5 Web Users com 'Ação' igual a 'Bloqueado'
CommonSecurityLog
| where TimeGenerated <= ago(0m)
| where DeviceVendor == "Forcepoint CSG"
| where DeviceProduct == "Web"
| where Activity == "Blocked"
| where SourceUserID != "Not available"
| summarize Count=count() by SourceUserID
| top 5 by Count
| render piechart
Top 5 endereços de e-mail do remetente onde a pontuação de spam maior que 10,0
CommonSecurityLog
| where TimeGenerated <= ago(0m)
| where DeviceVendor == "Forcepoint CSG"
| where DeviceProduct == "Email"
| where DeviceCustomFloatingPoint1 > 10.0
| summarize Count=count() by SourceUserName
| top 5 by Count
| render barchart
Instruções de instalação do fornecedor
- Configuração do agente Linux Syslog
Essa integração requer que o agente Linux Syslog colete seus logs de Web/Email do Forcepoint Cloud Security Gateway na porta 514 TCP como CEF (Common Event Format) e os encaminhe para o Microsoft Sentinel.
O comando de instalação do agente Syslog do conector de dados é:
sudo wget -O cef_installer.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/CEF/cef_installer.py&&sudo python cef_installer.py {0} {1}
- Opções de implementação
A integração é disponibilizada com duas opções de implementação.
2.1 Implementação do Docker
Aproveita imagens do docker onde o componente de integração já está instalado com todas as dependências necessárias.
Siga as instruções fornecidas no Guia de Integração link abaixo.
2.2 Implementação tradicional
Requer a implantação manual do componente de integração dentro de uma máquina Linux limpa.
Siga as instruções fornecidas no Guia de Integração link abaixo.
- Validar conexão
Siga as instruções para validar sua conectividade:
Abra o Log Analytics para verificar se os logs são recebidos usando o esquema CommonSecurityLog.
Pode levar cerca de 20 minutos até que a conexão transmita dados para seu espaço de trabalho.
Se os logs não forem recebidos, execute o seguinte script de validação de conectividade:
- Certifique-se de ter Python em sua máquina usando o seguinte comando: python -version
- Você deve ter permissões elevadas (sudo) em sua máquina
Execute o seguinte comando para validar sua conectividade:
sudo wget -O cef_troubleshoot.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/CEF/cef_troubleshoot.py&&sudo python cef_troubleshoot.py {0}
- Proteja a sua máquina
Certifique-se de configurar a segurança da máquina de acordo com a política de segurança da sua organização
Próximos passos
Para obter mais informações, vá para a solução relacionada no Azure Marketplace.