Соединитель WatchGuard Firebox для Microsoft Sentinel

  • Статья

WatchGuard Firebox (https://www.watchguard.com/wgrd-products/firewall-appliancesиhttps://www.watchguard.com/wgrd-products/cloud-and-virtual-firewalls) — это продукты безопасности и (модуль) брандмауэра. Watchguard Firebox отправит системный журнал в агент сборщика Watchguard Firebox. Затем агент отправляет сообщение в рабочую область.

Это автоматически сформированное содержимое. Для изменений обратитесь к поставщику решений.

атрибуты Подключение or

Атрибут соединителя Description
Таблицы Log Analytics Syslog (WatchGuardFirebox)
Поддержка правил сбора данных Преобразование DCR рабочей области
Поддерживается WatchGuard

Примеры запросов

Первые 10 пожарных ящиков за последние 24 часа

WatchGuardFirebox

| where TimeGenerated >= ago(24h)

| summarize count() by HostName

| top 10 by count_ desc

Firebox Named WatchGuard-XTM top 10 сообщений за последние 24 часа

WatchGuardFirebox

| where HostName contains 'WatchGuard-XTM'

| where TimeGenerated >= ago(24h)

| summarize count() by MessageId

| top 10 by count_ desc

Firebox Named WatchGuard-XTM top 10 приложений за последние 24 часа

WatchGuardFirebox

| where HostName contains 'WatchGuard-XTM'

| where TimeGenerated >= ago(24h)

| summarize count() by Application

| top 10 by count_ desc

Инструкции по установке поставщика

ПРИМЕЧАНИЕ. Этот соединитель данных зависит от средства синтаксического анализа на основе функции Kusto, которая должна работать должным образом, которая развертывается в рамках решения. Чтобы просмотреть код функции в Log Analytics, откройте колонку Log Analytics/Microsoft Sentinel Logs, щелкните "Функции" и найдите псевдоним WatchGuardFirebox и загрузите код функции или щелкните здесь во второй строке запроса, введите имя узла устройства WatchGuard Firebox и другие уникальные идентификаторы для потока журналов. Функция обычно занимает 10–15 минут, чтобы активировать после установки или обновления решения.

  1. Установка и подключение агента для Linux

Обычно агент следует устанавливать не на том же компьютере, где создаются журналы.

Журналы системного журнала собираются только из агентов Linux .

  1. Настройка журналов для сбора

Настройте объекты, которые необходимо собрать, и соответствующие уровни серьезности.

  1. В разделе "Конфигурация дополнительных параметров рабочей области" выберите "Данные" и "Системный журнал".
  2. Выберите " Применить" на моих компьютерах и выберите объекты и серьезность.
  3. Нажмите кнопку Сохранить.

Следующие шаги

Дополнительные сведения см. в связанном решении в Azure Marketplace.