[Не рекомендуется] Forcepoint NGFW через соединитель устаревшего агента для Microsoft Sentinel
Соединитель Forcepoint NGFW (брандмауэр следующего поколения) позволяет автоматически экспортировать пользовательские журналы Forcepoint NGFW в Microsoft Sentinel в режиме реального времени. Это расширяет видимость действий пользователей, записанных NGFW, обеспечивает дополнительную корреляцию с данными из рабочих нагрузок Azure и других веб-каналов и улучшает возможности мониторинга с помощью книг в Microsoft Sentinel.
атрибуты Подключение or
| Атрибут соединителя | Description |
|---|---|
| Таблицы Log Analytics | CommonSecurityLog (ForcePointNGFW) |
| Поддержка правил сбора данных | Преобразование DCR рабочей области |
| Поддерживается | Сообщество |
Примеры запросов
Отображение всех завершенных действий из Forcepoint NGFW
CommonSecurityLog
| where DeviceVendor == "Forcepoint"
| where DeviceProduct == "NGFW"
| where DeviceAction == "Terminate"
Показать все Forcepoint NGFW с предполагаемым поведением компрометации
CommonSecurityLog
| where DeviceVendor == "Forcepoint"
| where DeviceProduct == "NGFW"
| where Activity contains "compromise"
Отображение группировки всех событий Forcepoint NGFW по типу действия
CommonSecurityLog
| where DeviceVendor == "Forcepoint"
| where DeviceProduct == "NGFW"
| summarize count=count() by Activity
| render barchart
Инструкции по установке поставщика
- Конфигурация агента Syslog Linux
Установите и настройте агент Linux, чтобы собирать сообщения системного журнала общего формата событий (CEF) и пересылать их в Microsoft Sentinel.
Обратите внимание, что в выбранной рабочей области будут храниться данные из всех регионов
1.1 Выбор или создание компьютера с Linux
Выберите или создайте компьютер Linux, который Microsoft Sentinel будет использовать в качестве прокси-сервера между решением безопасности и Microsoft Sentinel, который может находиться в локальной среде, Azure или других облаках.
1.2 Установка сборщика CEF на компьютере с Linux
Установите microsoft Monitoring Agent на компьютере Linux и настройте компьютер для прослушивания необходимого порта и пересылки сообщений в рабочую область Microsoft Sentinel. Сборщик CEF собирает сообщения CEF, передаваемые через TCP-порт 514.
- Убедитесь, что на компьютере установлен Python, выполнив следующую команду: python -version.
- Вы должны обладать повышенными правами (sudo) на компьютере.
Выполните следующую команду, чтобы установить и применить сборщик CEF:
sudo wget -O cef_installer.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/CEF/cef_installer.py&&sudo python cef_installer.py {0} {1}
- Переадресация журналов общего формата событий (CEF) в агент syslog
Задайте решение для обеспечения безопасности для отправки сообщений системного журнала в формате CEF на прокси-компьютер. Убедитесь, что журналы отправляются через порт 514 TCP на IP-адрес компьютера.
- Проверка подключения
Следуйте инструкциям, чтобы проверить подключение:
Откройте Log Analytics, чтобы проверка, если журналы получены с помощью схемы CommonSecurityLog.
Это может занять около 20 минут, пока данные подключения не передаются в рабочую область.
Если журналы не получены, выполните следующий сценарий проверки подключения:
- Убедитесь, что на компьютере есть Python, используя следующую команду: python — версия
- На компьютере должны быть повышенные разрешения (sudo)
Выполните следующую команду, чтобы проверить подключение:
sudo wget -O cef_troubleshoot.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/CEF/cef_troubleshoot.py&&sudo python cef_troubleshoot.py {0}
- Защита компьютера
Обязательно настройте безопасность компьютера в соответствии с политикой безопасности вашей организации.
- Руководство по установке интеграции Forcepoint
Чтобы завершить установку этой интеграции продуктов Forcepoint, следуйте приведенным ниже инструкциям.
Следующие шаги
Дополнительные сведения см. в связанном решении в Azure Marketplace.