[Не рекомендуется] Forcepoint CSG с помощью соединителя устаревшего агента для Microsoft Sentinel
Шлюз Forcepoint Cloud Security — это конвергентная облачная служба безопасности, которая обеспечивает видимость, контроль и защиту от угроз для пользователей и данных, где бы они ни находились. Дополнительные сведения см. в статье https://www.forcepoint.com/product/cloud-security-gateway
атрибуты Подключение or
| Атрибут соединителя | Description |
|---|---|
| Таблицы Log Analytics | CommonSecurityLog (Forcepoint CSG) CommonSecurityLog (Forcepoint CSG) |
| Поддержка правил сбора данных | Преобразование DCR рабочей области |
| Поддерживается | Сообщество |
Примеры запросов
Первые 5 веб-запрошенных доменов с серьезностью журнала равны 6 (средний)
CommonSecurityLog
| where TimeGenerated <= ago(0m)
| where DeviceVendor == "Forcepoint CSG"
| where DeviceProduct == "Web"
| where LogSeverity == 6
| where DeviceCustomString2 != ""
| summarize Count=count() by DeviceCustomString2
| top 5 by Count
| render piechart
Первые 5 веб-пользователей с действием, равным "Заблокировано"
CommonSecurityLog
| where TimeGenerated <= ago(0m)
| where DeviceVendor == "Forcepoint CSG"
| where DeviceProduct == "Web"
| where Activity == "Blocked"
| where SourceUserID != "Not available"
| summarize Count=count() by SourceUserID
| top 5 by Count
| render piechart
Лучшие 5 адресов электронной почты отправителя, где оценка спама превышает 10.0
CommonSecurityLog
| where TimeGenerated <= ago(0m)
| where DeviceVendor == "Forcepoint CSG"
| where DeviceProduct == "Email"
| where DeviceCustomFloatingPoint1 > 10.0
| summarize Count=count() by SourceUserName
| top 5 by Count
| render barchart
Инструкции по установке поставщика
- Конфигурация агента Syslog Linux
Для этой интеграции требуется агент системного журнала Linux для сбора журналов web/email шлюза Forcepoint Cloud Security через порт 514 TCP в качестве общего формата событий (CEF) и переадресации их в Microsoft Sentinel.
Команда установки агента Syslog для данных Подключение or:
sudo wget -O cef_installer.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/CEF/cef_installer.py&&sudo python cef_installer.py {0} {1}
- Варианты реализации
Интеграция доступна с двумя вариантами реализации.
Реализация Docker 2.1
Использует образы Docker, в которых компонент интеграции уже установлен со всеми необходимыми зависимостями.
Следуйте инструкциям, приведенным в руководстве по интеграции, связанному ниже.
2.2 Традиционная реализация
Требуется ручное развертывание компонента интеграции на чистом компьютере Linux.
Следуйте инструкциям, приведенным в руководстве по интеграции, связанному ниже.
- Проверка подключения
Следуйте инструкциям, чтобы проверить подключение:
Откройте Log Analytics, чтобы проверка, если журналы получены с помощью схемы CommonSecurityLog.
Это может занять около 20 минут, пока данные подключения не передаются в рабочую область.
Если журналы не получены, выполните следующий сценарий проверки подключения:
- Убедитесь, что на компьютере есть Python, используя следующую команду: python -version
- На компьютере должны быть повышенные разрешения (sudo)
Выполните следующую команду, чтобы проверить подключение:
sudo wget -O cef_troubleshoot.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/CEF/cef_troubleshoot.py&&sudo python cef_troubleshoot.py {0}
- Защита компьютера
Обязательно настройте безопасность компьютера в соответствии с политикой безопасности вашей организации.
Следующие шаги
Дополнительные сведения см. в связанном решении в Azure Marketplace.