Microsoft Sentinel için SonicWall Güvenlik Duvarı bağlayıcısı
Common Event Format (CEF), SonicWall tarafından farklı platformlar arasında olay birlikte çalışabilirliği sağlamak için kullanılan, Syslog iletilerinin üzerinde endüstri standardı bir biçimdir. CEF günlüklerinizi Microsoft Sentinel'e bağlayarak, her günlük için arama ve bağıntı, uyarı ve tehdit bilgileri zenginleştirme avantajlarından yararlanabilirsiniz.
Bu, otomatik olarak oluşturulan içeriktir. Değişiklikler için çözüm sağlayıcısına başvurun.
Bağlan or öznitelikleri
Bağlan or özniteliği | Açıklama |
---|---|
Log Analytics tabloları | CommonSecurityLog (SonicWall) |
Veri toplama kuralları desteği | Çalışma alanı dönüştürme DCR |
Destekleyen: | Sonicwall |
Sorgu örnekleri
Tüm günlükler
CommonSecurityLog
| where DeviceVendor == "SonicWall"
| sort by TimeGenerated desc
Hedef IP'ye ve bağlantı noktasına göre özetleme
CommonSecurityLog
| where DeviceVendor == "SonicWall"
| summarize count() by DestinationIP, DestinationPort, TimeGenerated
| sort by TimeGenerated desc
SonicWall Güvenlik Duvarı'ndan bırakılan tüm trafiği göster
CommonSecurityLog
| where DeviceVendor == "SonicWall"
| where AdditionalExtensions contains "fw_action='drop'"
Satıcı yükleme yönergeleri
- Linux Syslog aracısı yapılandırması
Ortak Olay Biçimi (CEF) Syslog iletilerinizi toplamak ve Bunları Microsoft Sentinel'e iletmek için Linux aracısını yükleyin ve yapılandırın.
Tüm bölgelerdeki verilerin seçilen çalışma alanında depolanacağına dikkat edin 1.1 Linux makinesi seçin veya oluşturun.
Microsoft Sentinel'in güvenlik çözümünüzle Microsoft Sentinel arasında ara sunucu olarak kullanacağı bir Linux makinesi seçin veya oluşturun. Bu makine şirket içi ortamınızda, Azure'da veya diğer bulutlarda olabilir.
1.2 Linux makinesine CEF toplayıcısını yükleme
Linux makinenize Microsoft Monitoring Agent'ı yükleyin ve makineyi gerekli bağlantı noktasını dinleyecek ve iletileri Microsoft Sentinel çalışma alanınıza iletecek şekilde yapılandırın. CEF toplayıcısı 514 TCP numaralı bağlantı noktasında CEF iletilerini toplar.
Aşağıdaki komutu kullanarak makinenizde Python olduğundan emin olun: python -version.
Makinenizde yükseltilmiş izinlere (sudo) sahip olmanız gerekir. CEF toplayıcısını yüklemek ve uygulamak için aşağıdaki komutu çalıştırın:
sudo wget -O cef_installer.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/CEF/cef_installer.py&&sudo python cef_installer.py [Workspace ID] [Workspace Primary Key]
SonicWall Güvenlik Duvarı Ortak Olay Biçimi (CEF) günlüklerini Syslog aracısına iletme
SonicWall Güvenlik Duvarınızı syslog iletilerini ara sunucu makinesine CEF biçiminde gönderecek şekilde ayarlayın. Günlükleri makinenin IP adresindeki 514 TCP bağlantı noktasına gönderdiğinizden emin olun.
Yönergeleri izleyin. Ardından tesis olarak yerel kullanım 4'i seçtiğinizden emin olun. Ardından Syslog biçimi olarak ArcSight'ı seçin.
Bağlantıyı doğrulama
Bağlantınızı doğrulamak için yönergeleri izleyin:
Günlüklerin CommonSecurityLog şeması kullanılarak alınılıp alınmadığını denetlemek için Log Analytics'i açın.
Bağlantının çalışma alanınıza veri akışı gerçekleştirmesi yaklaşık 20 dakika sürebilir. Günlükler alınmazsa aşağıdaki bağlantı doğrulama betiğini çalıştırın:
Aşağıdaki komutu kullanarak makinenizde Python olduğundan emin olun: python -version
Makinenizde yükseltilmiş izinlere (sudo) sahip olmanız gerekir Bağlantınızı doğrulamak için aşağıdaki komutu çalıştırın:
sudo wget -O cef_troubleshoot.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/CEF/cef_troubleshoot.py&&sudo python cef_troubleshoot.py [Workspace ID]
Makinenizin güvenliğini sağlama
Makinenin güvenliğini kuruluşunuzun güvenlik ilkesine göre yapılandırdığından emin olun.
Sonraki adımlar
Daha fazla bilgi için Azure Market ilgili çözüme gidin.
Geri Bildirim
https://aka.ms/ContentUserFeedback.
Çok yakında: 2024 boyunca, içerik için geri bildirim mekanizması olarak GitHub Sorunları’nı kullanımdan kaldıracak ve yeni bir geri bildirim sistemiyle değiştireceğiz. Daha fazla bilgi için bkz.Gönderin ve geri bildirimi görüntüleyin