[Рекомендуется] Forcepoint CASB через соединитель AMA для Microsoft Sentinel

  • Статья

Подключение or forcepoint CASB (Cloud Access Security Broker) позволяет автоматически экспортировать журналы и события CASB в Microsoft Sentinel в режиме реального времени. Это расширяет видимость действий пользователей в разных расположениях и облачных приложениях, обеспечивает дополнительную корреляцию с данными из рабочих нагрузок Azure и других веб-каналов и улучшает возможности мониторинга с помощью книг в Microsoft Sentinel.

атрибуты Подключение or

Атрибут соединителя Description
Таблицы Log Analytics CommonSecurityLog (ForcepointCASB)
Поддержка правил сбора данных DCR агента Azure Monitor
Поддерживается Сообщество

Примеры запросов

Первые 5 пользователей с наибольшим числом журналов

CommonSecurityLog 

| summarize Count = count() by DestinationUserName

| top 5 by DestinationUserName

| render barchart

**Топ-5 пользователей по количеству неудачных попыток **

CommonSecurityLog 

| extend outcome = coalesce(column_ifexists("EventOutcome", ""), tostring(split(split(AdditionalExtensions, ";", 2)[0], "=", 1)[0]), "")

| extend reason = coalesce(column_ifexists("Reason", ""), tostring(split(split(AdditionalExtensions, ";", 3)[0], "=", 1)[0]), "")

| where outcome =="Failure"

| summarize Count= count() by DestinationUserName

| render barchart

Необходимые компоненты

Чтобы интегрироваться с [рекомендуется] Forcepoint CASB через AMA, убедитесь, что у вас есть:

  • : для сбора данных из виртуальных машин, отличных от Azure, они должны быть установлены и включены в Azure Arc. Подробнее
  • : общий формат событий (CEF) через AMA и Syslog через соединители данных AMA необходимо установить дополнительные сведения

Инструкции по установке поставщика

Установите и настройте агент Linux, чтобы собирать сообщения системного журнала общего формата событий (CEF) и пересылать их в Microsoft Sentinel.

Обратите внимание, что в выбранной рабочей области будут храниться данные из всех регионов

  1. Защита компьютера

Обязательно настройте безопасность компьютера в соответствии с политикой безопасности вашей организации.

Подробнее>

  1. Руководство по установке интеграции Forcepoint

Чтобы завершить установку этой интеграции продуктов Forcepoint, следуйте приведенным ниже инструкциям.

Руководство по установке >

Следующие шаги

Дополнительные сведения см. в связанном решении в Azure Marketplace.