[Не рекомендуется] Соединитель брандмауэра SonicWall для Microsoft Sentinel
Внимание
Сбор журналов из многих устройств и устройств теперь поддерживается общим форматом событий (CEF) через AMA, Syslog через AMA или пользовательские журналы через соединитель данных AMA в Microsoft Sentinel. Дополнительные сведения см. в статье Поиск нужных соединителей данных Microsoft Sentinel.
Общий формат событий (CEF) — это стандартный формат отраслевых сообщений системного журнала, используемый SonicWall для обеспечения взаимодействия событий между различными платформами. Подключив журналы CEF к Microsoft Sentinel, вы можете воспользоваться преимуществами поиска и корреляции, оповещений и обогащения аналитики угроз для каждого журнала.
Это автоматически сформированное содержимое. Для изменений обратитесь к поставщику решений.
Атрибуты соединителя
| Атрибут соединителя | Description |
|---|---|
| Таблицы Log Analytics | CommonSecurityLog (SonicWall) |
| Поддержка правил сбора данных | Преобразование DCR рабочей области |
| Поддерживается | SonicWall |
Примеры запросов
Все журналы
CommonSecurityLog
| where DeviceVendor == "SonicWall"
| sort by TimeGenerated desc
Сводка по ip-адресу назначения и порту
CommonSecurityLog
| where DeviceVendor == "SonicWall"
| summarize count() by DestinationIP, DestinationPort, TimeGenerated
| sort by TimeGenerated desc
Показать весь удаленный трафик из брандмауэра SonicWall
CommonSecurityLog
| where DeviceVendor == "SonicWall"
| where AdditionalExtensions contains "fw_action='drop'"
Инструкции по установке поставщика
- Конфигурация агента Syslog Linux
Установите и настройте агент Linux, чтобы собирать сообщения системного журнала общего формата событий (CEF) и пересылать их в Microsoft Sentinel.
Обратите внимание, что данные из всех регионов будут храниться в выбранной рабочей области 1.1 Выбор или создание компьютера Linux.
Выберите или создайте компьютер Linux, который Microsoft Sentinel будет использовать в качестве прокси-сервера между решением безопасности и Microsoft Sentinel, который может находиться в локальной среде, Azure или других облаках.
1.2 Установка сборщика CEF на компьютере с Linux
Установите microsoft Monitoring Agent на компьютере Linux и настройте компьютер для прослушивания необходимого порта и пересылки сообщений в рабочую область Microsoft Sentinel. Сборщик CEF собирает сообщения CEF, передаваемые через TCP-порт 514.
Убедитесь, что на компьютере установлен Python, выполнив следующую команду: python -version.
Вы должны обладать повышенными правами (sudo) на компьютере. Выполните следующую команду, чтобы установить и применить сборщик CEF:
sudo wget -O cef_installer.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/CEF/cef_installer.py&&sudo python cef_installer.py [Workspace ID] [Workspace Primary Key]Пересылка журналов общего формата событий брандмауэра SonicWall (CEF) в агент syslog
Задайте брандмауэр SonicWall для отправки сообщений Системного журнала в формате CEF на прокси-компьютер. Убедитесь, что журналы отправляются через порт 514 TCP на IP-адрес компьютера.
Следуйте инструкциям. Затем убедитесь, что в качестве объекта выбрано локальное использование 4. Затем выберите ArcSight в качестве формата системного журнала.
Проверка подключения
Следуйте инструкциям, чтобы проверить подключение:
Откройте Log Analytics, чтобы проверить, получены ли журналы с помощью схемы CommonSecurityLog.
Это может занять около 20 минут, пока данные подключения не передаются в рабочую область. Если журналы не получены, выполните следующий сценарий проверки подключения:
Убедитесь, что на компьютере есть Python, используя следующую команду: python -version
Для проверки подключения необходимо иметь повышенные разрешения (sudo) на компьютере, выполнив следующую команду:
sudo wget -O cef_troubleshoot.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/CEF/cef_troubleshoot.py&&sudo python cef_troubleshoot.py [Workspace ID]Защита компьютера
Настраивать безопасность машины необходимо в соответствии с политикой безопасности организации.
Следующие шаги
Дополнительные сведения см. в связанном решении в Azure Marketplace.