SonicWall Firewall-anslutningsprogram för Microsoft Sentinel
Common Event Format (CEF) är ett branschstandardformat ovanpå Syslog-meddelanden som används av SonicWall för att tillåta händelsekompatibilitet mellan olika plattformar. Genom att ansluta dina CEF-loggar till Microsoft Sentinel kan du dra nytta av sök- och korrelations-, aviserings- och hotinformationsberikning för varje logg.
Det här är automatiskt genererat innehåll. Om du vill ha ändringar kontaktar du lösningsleverantören.
Anslut ellerattribut
| Anslut ellerattribut | beskrivning |
|---|---|
| Log Analytics-tabeller | CommonSecurityLog (SonicWall) |
| Stöd för regler för datainsamling | DcR för arbetsytetransformering |
| Stöds av | SonicWall |
Exempel på frågor
Alla loggar
CommonSecurityLog
| where DeviceVendor == "SonicWall"
| sort by TimeGenerated desc
Sammanfatta efter mål-IP och port
CommonSecurityLog
| where DeviceVendor == "SonicWall"
| summarize count() by DestinationIP, DestinationPort, TimeGenerated
| sort by TimeGenerated desc
Visa all borttagen trafik från SonicWall-brandväggen
CommonSecurityLog
| where DeviceVendor == "SonicWall"
| where AdditionalExtensions contains "fw_action='drop'"
Installationsanvisningar för leverantör
- Konfiguration av Linux Syslog-agent
Installera och konfigurera Linux-agenten för att samla in dina Common Event Format-syslog-meddelanden (CEF) och vidarebefordra dem till Microsoft Sentinel.
Observera att data från alla regioner lagras på den valda arbetsytan 1.1 Välj eller skapa en Linux-dator.
Välj eller skapa en Linux-dator som Microsoft Sentinel ska använda som proxy mellan din säkerhetslösning och Microsoft Sentinel den här datorn kan finnas i din lokala miljö, Azure eller andra moln.
1.2 Installera CEF-insamlaren på Linux-datorn
Installera Microsoft Monitoring Agent på din Linux-dator och konfigurera datorn så att den lyssnar på den nödvändiga porten och vidarebefordrar meddelanden till din Microsoft Sentinel-arbetsyta. CEF-insamlaren samlar in CEF-meddelanden på port 514 TCP.
Kontrollera att du har Python på datorn med följande kommando: python -version.
Du måste ha utökade behörigheter (sudo) på datorn. Kör följande kommando för att installera och tillämpa CEF-insamlaren:
sudo wget -O cef_installer.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/CEF/cef_installer.py&&sudo python cef_installer.py [Workspace ID] [Workspace Primary Key]Vidarebefordra CEF-loggar (SonicWall Firewall Common Event Format) till Syslog-agenten
Ställ in SonicWall-brandväggen för att skicka Syslog-meddelanden i CEF-format till proxydatorn. Se till att du skickar loggarna till port 514 TCP på datorns IP-adress.
Följ anvisningarna. Se sedan till att du väljer lokal användning 4 som anläggning. Välj sedan ArcSight som Syslog-format.
Verifiera anslutningen
Följ anvisningarna för att verifiera anslutningen:
Öppna Log Analytics för att kontrollera om loggarna tas emot med hjälp av CommonSecurityLog-schemat.
Det kan ta cirka 20 minuter innan anslutningen strömmar data till din arbetsyta. Om loggarna inte tas emot kör du följande anslutningsverifieringsskript:
Kontrollera att du har Python på datorn med följande kommando: python -version
Du måste ha utökade behörigheter (sudo) på datorn Kör följande kommando för att verifiera anslutningen:
sudo wget -O cef_troubleshoot.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/CEF/cef_troubleshoot.py&&sudo python cef_troubleshoot.py [Workspace ID]Skydda datorn
Se till att konfigurera datorns säkerhet enligt organisationens säkerhetsprincip.
Nästa steg
Mer information finns i den relaterade lösningen på Azure Marketplace.