[Рекомендуется] Принудительное использование CSG через соединитель AMA для Microsoft Sentinel
Шлюз Forcepoint Cloud Security — это конвергентная облачная служба безопасности, которая обеспечивает видимость, контроль и защиту от угроз для пользователей и данных, где бы они ни находились. Дополнительные сведения см. в статье https://www.forcepoint.com/product/cloud-security-gateway
атрибуты Подключение or
| Атрибут соединителя | Description |
|---|---|
| Таблицы Log Analytics | CommonSecurityLog (Forcepoint CSG) CommonSecurityLog (Forcepoint CSG) |
| Поддержка правил сбора данных | DCR агента Azure Monitor |
| Поддерживается | Сообщество |
Примеры запросов
Первые 5 веб-запрошенных доменов с серьезностью журнала равны 6 (средний)
CommonSecurityLog
| where TimeGenerated <= ago(0m)
| where DeviceVendor == "Forcepoint CSG"
| where DeviceProduct == "Web"
| where LogSeverity == 6
| where DeviceCustomString2 != ""
| summarize Count=count() by DeviceCustomString2
| top 5 by Count
| render piechart
Первые 5 веб-пользователей с действием, равным "Заблокировано"
CommonSecurityLog
| where TimeGenerated <= ago(0m)
| where DeviceVendor == "Forcepoint CSG"
| where DeviceProduct == "Web"
| where Activity == "Blocked"
| where SourceUserID != "Not available"
| summarize Count=count() by SourceUserID
| top 5 by Count
| render piechart
Лучшие 5 адресов электронной почты отправителя, где оценка спама превышает 10.0
CommonSecurityLog
| where TimeGenerated <= ago(0m)
| where DeviceVendor == "Forcepoint CSG"
| where DeviceProduct == "Email"
| where DeviceCustomFloatingPoint1 > 10.0
| summarize Count=count() by SourceUserName
| top 5 by Count
| render barchart
Необходимые компоненты
Чтобы интегрироваться с [рекомендуется] Forcepoint CSG через AMA, убедитесь, что у вас есть:
- : для сбора данных из виртуальных машин, отличных от Azure, они должны быть установлены и включены в Azure Arc. Подробнее
- : общий формат событий (CEF) через AMA и Syslog через соединители данных AMA необходимо установить дополнительные сведения
Инструкции по установке поставщика
- Защита компьютера
Обязательно настройте безопасность компьютера в соответствии с политикой безопасности вашей организации.
Следующие шаги
Дополнительные сведения см. в связанном решении в Azure Marketplace.