WatchGuard Firebox-anslutningsprogram för Microsoft Sentinel

  • Artikel

WatchGuard Firebox (https://www.watchguard.com/wgrd-products/firewall-appliances och https://www.watchguard.com/wgrd-products/cloud-and-virtual-firewalls) är säkerhetsprodukter/brandväggsinstallationer. Watchguard Firebox skickar syslog till Watchguard Firebox-insamlingsagenten. Agenten skickar sedan meddelandet till arbetsytan.

Det här är automatiskt genererat innehåll. Om du vill ha ändringar kontaktar du lösningsleverantören.

Anslut ellerattribut

Anslut ellerattribut beskrivning
Log Analytics-tabeller Syslog (WatchGuardFirebox)
Stöd för regler för datainsamling DcR för arbetsytetransformering
Stöds av WatchGuard

Exempel på frågor

De 10 främsta brandrutorna under de senaste 24 timmarna

WatchGuardFirebox

| where TimeGenerated >= ago(24h)

| summarize count() by HostName

| top 10 by count_ desc

Firebox named WatchGuard-XTM top 10 messages in last 24 hours in last 24 hours

WatchGuardFirebox

| where HostName contains 'WatchGuard-XTM'

| where TimeGenerated >= ago(24h)

| summarize count() by MessageId

| top 10 by count_ desc

Firebox named WatchGuard-XTM top 10 applications in last 24 hours in last 24 hours

WatchGuardFirebox

| where HostName contains 'WatchGuard-XTM'

| where TimeGenerated >= ago(24h)

| summarize count() by Application

| top 10 by count_ desc

Installationsanvisningar för leverantör

Obs! Den här dataanslutningen är beroende av en parser baserat på en Kusto-funktion för att fungera som förväntat som distribueras som en del av lösningen. Om du vill visa funktionskoden i Log Analytics öppnar du bladet Log Analytics/Microsoft Sentinel-loggar, klickar på Funktioner och söker efter aliaset WatchGuardFirebox och läser in funktionskoden eller klickar här på den andra raden i frågan, anger värdnamnen för din WatchGuard Firebox-enhet och andra unika identifierare för logstreamen. Funktionen tar vanligtvis 10–15 minuter att aktivera efter installationen/uppdateringen av lösningen.

  1. Installera och registrera agenten för Linux

Normalt bör du installera agenten på en annan dator än den där loggarna genereras.

Syslog-loggar samlas endast in från Linux-agenter .

  1. Konfigurera loggarna som ska samlas in

Konfigurera de anläggningar som du vill samla in och deras allvarlighetsgrad.

  1. Under Avancerade inställningar för arbetsytan Konfiguration väljer du Data och sedan Syslog.
  2. Välj Använd nedanstående konfiguration på mina datorer och välj de anläggningar och allvarlighetsgraderna.
  3. Klicka på Spara.

Nästa steg

Mer information finns i den relaterade lösningen på Azure Marketplace.