[Рекомендуется] Forcepoint NGFW через соединитель AMA для Microsoft Sentinel

  • Статья

Соединитель Forcepoint NGFW (брандмауэр следующего поколения) позволяет автоматически экспортировать пользовательские журналы Forcepoint NGFW в Microsoft Sentinel в режиме реального времени. Это расширяет видимость действий пользователей, записанных NGFW, обеспечивает дополнительную корреляцию с данными из рабочих нагрузок Azure и других веб-каналов и улучшает возможности мониторинга с помощью книг в Microsoft Sentinel.

атрибуты Подключение or

Атрибут соединителя Description
Таблицы Log Analytics CommonSecurityLog (ForcePointNGFW)
Поддержка правил сбора данных DCR агента Azure Monitor
Поддерживается Сообщество

Примеры запросов

Отображение всех завершенных действий из Forcepoint NGFW


CommonSecurityLog

| where DeviceVendor == "Forcepoint"

| where DeviceProduct == "NGFW"

| where DeviceAction == "Terminate"

Показать все Forcepoint NGFW с предполагаемым поведением компрометации


CommonSecurityLog

| where DeviceVendor == "Forcepoint"

| where DeviceProduct == "NGFW"

| where Activity contains "compromise"

Отображение группировки всех событий Forcepoint NGFW по типу действия


CommonSecurityLog

| where DeviceVendor == "Forcepoint"

| where DeviceProduct == "NGFW"

| summarize count=count() by Activity

| render barchart

Необходимые компоненты

Чтобы интегрироваться с [рекомендуется] Forcepoint NGFW через AMA, убедитесь, что у вас есть:

  • : для сбора данных из виртуальных машин, отличных от Azure, они должны быть установлены и включены в Azure Arc. Подробнее
  • : общий формат событий (CEF) через AMA и Syslog через соединители данных AMA необходимо установить дополнительные сведения

Инструкции по установке поставщика

Установите и настройте агент Linux, чтобы собирать сообщения системного журнала общего формата событий (CEF) и пересылать их в Microsoft Sentinel.

Обратите внимание, что в выбранной рабочей области будут храниться данные из всех регионов

  1. Защита компьютера

Обязательно настройте безопасность компьютера в соответствии с политикой безопасности вашей организации.

Подробнее>

  1. Руководство по установке интеграции Forcepoint

Чтобы завершить установку этой интеграции продуктов Forcepoint, следуйте приведенным ниже инструкциям.

Руководство по установке >

Следующие шаги

Дополнительные сведения см. в связанном решении в Azure Marketplace.