[Rekommenderas] Forcepoint CASB via AMA-anslutningsprogram för Microsoft Sentinel

  • Artikel

Med Forcepoint CASB (Cloud Access Security Broker) Anslut eller kan du automatiskt exportera CASB-loggar och händelser till Microsoft Sentinel i realtid. Detta ökar insynen i användaraktiviteter mellan platser och molnprogram, möjliggör ytterligare korrelation med data från Azure-arbetsbelastningar och andra feeds och förbättrar övervakningsfunktionen med arbetsböcker i Microsoft Sentinel.

Anslut ellerattribut

Anslut ellerattribut beskrivning
Log Analytics-tabeller CommonSecurityLog (ForcepointCASB)
Stöd för regler för datainsamling Azure Monitor Agent DCR
Stöds av Webbgrupp

Exempel på frågor

De 5 främsta användarna med det högsta antalet loggar

CommonSecurityLog 

| summarize Count = count() by DestinationUserName

| top 5 by DestinationUserName

| render barchart

**De 5 främsta användarna efter antal misslyckade försök **

CommonSecurityLog 

| extend outcome = coalesce(column_ifexists("EventOutcome", ""), tostring(split(split(AdditionalExtensions, ";", 2)[0], "=", 1)[0]), "")

| extend reason = coalesce(column_ifexists("Reason", ""), tostring(split(split(AdditionalExtensions, ";", 3)[0], "=", 1)[0]), "")

| where outcome =="Failure"

| summarize Count= count() by DestinationUserName

| render barchart

Förutsättningar

Om du vill integrera med [Recommended] Forcepoint CASB via AMA kontrollerar du att du har:

  • : Om du vill samla in data från virtuella datorer som inte kommer från Azure måste de ha Azure Arc installerat och aktiverat. Läs mer
  • : Common Event Format (CEF) via AMA och Syslog via AMA-dataanslutningar måste installeras Läs mer

Installationsanvisningar för leverantör

Installera och konfigurera Linux-agenten för att samla in dina Common Event Format-syslog-meddelanden (CEF) och vidarebefordra dem till Microsoft Sentinel.

Observera att data från alla regioner lagras på den valda arbetsytan

  1. Skydda datorn

Se till att konfigurera datorns säkerhet enligt organisationens säkerhetsprincip

Läs mer >

  1. Installationsguide för Forcepoint-integrering

Följ guiden nedan för att slutföra installationen av den här Forcepoint-produktintegrering.

Installationsguide >

Nästa steg

Mer information finns i den relaterade lösningen på Azure Marketplace.