[Rekommenderas] Forcepoint NGFW via AMA-anslutningsprogram för Microsoft Sentinel
Med forcepoint NGFW-anslutningsappen (nästa generations brandvägg) kan du automatiskt exportera användardefinierade Forcepoint NGFW-loggar till Microsoft Sentinel i realtid. Detta ger bättre insyn i användaraktiviteter som registrerats av NGFW, möjliggör ytterligare korrelation med data från Azure-arbetsbelastningar och andra feeds och förbättrar övervakningsfunktionen med arbetsböcker i Microsoft Sentinel.
Anslut ellerattribut
| Anslut ellerattribut | beskrivning |
|---|---|
| Log Analytics-tabeller | CommonSecurityLog (ForcePointNGFW) |
| Stöd för regler för datainsamling | Azure Monitor Agent DCR |
| Stöds av | Webbgrupp |
Exempel på frågor
Visa alla avslutade åtgärder från Forcepoint NGFW
CommonSecurityLog
| where DeviceVendor == "Forcepoint"
| where DeviceProduct == "NGFW"
| where DeviceAction == "Terminate"
Visa alla Forcepoint NGFW med misstänkt komprometterande beteende
CommonSecurityLog
| where DeviceVendor == "Forcepoint"
| where DeviceProduct == "NGFW"
| where Activity contains "compromise"
Visa diagram som grupperar alla Forcepoint NGFW-händelser efter aktivitetstyp
CommonSecurityLog
| where DeviceVendor == "Forcepoint"
| where DeviceProduct == "NGFW"
| summarize count=count() by Activity
| render barchart
Förutsättningar
Om du vill integrera med [Recommended] Forcepoint NGFW via AMA kontrollerar du att du har:
- : Om du vill samla in data från virtuella datorer som inte kommer från Azure måste de ha Azure Arc installerat och aktiverat. Läs mer
- : Common Event Format (CEF) via AMA och Syslog via AMA-dataanslutningar måste installeras Läs mer
Installationsanvisningar för leverantör
Installera och konfigurera Linux-agenten för att samla in dina Common Event Format-syslog-meddelanden (CEF) och vidarebefordra dem till Microsoft Sentinel.
Observera att data från alla regioner lagras på den valda arbetsytan
- Skydda datorn
Se till att konfigurera datorns säkerhet enligt organisationens säkerhetsprincip
- Installationsguide för Forcepoint-integrering
Följ guiden nedan för att slutföra installationen av den här Forcepoint-produktintegrering.
Nästa steg
Mer information finns i den relaterade lösningen på Azure Marketplace.