透過適用於 Microsoft Sentinel 的舊版代理程式連接器的 [已淘汰] Forcepoint CSG
Forcepoint Cloud Security Gateway 是集結的雲端安全性服務,不論使用者和資料位在何處,都能提供可見度、控制及威脅防護。 如需詳細資訊,請瀏覽:https://www.forcepoint.com/product/cloud-security-gateway
連接器屬性
連接器屬性 | 描述 |
---|---|
記錄分析資料表 | CommonSecurityLog (Forcepoint CSG) CommonSecurityLog (Forcepoint CSG) |
資料收集規則支援 | 工作區轉換 DCR |
支援者: | Community |
查詢範例
前 5 個記錄嚴重性等於 6 (中等) 的 Web 要求網域
CommonSecurityLog
| where TimeGenerated <= ago(0m)
| where DeviceVendor == "Forcepoint CSG"
| where DeviceProduct == "Web"
| where LogSeverity == 6
| where DeviceCustomString2 != ""
| summarize Count=count() by DeviceCustomString2
| top 5 by Count
| render piechart
前 5 名「動作」等於「已封鎖」的 Web 使用者
CommonSecurityLog
| where TimeGenerated <= ago(0m)
| where DeviceVendor == "Forcepoint CSG"
| where DeviceProduct == "Web"
| where Activity == "Blocked"
| where SourceUserID != "Not available"
| summarize Count=count() by SourceUserID
| top 5 by Count
| render piechart
垃圾郵件分數大於 10.0 的前 5 個寄件者電子郵件地址
CommonSecurityLog
| where TimeGenerated <= ago(0m)
| where DeviceVendor == "Forcepoint CSG"
| where DeviceProduct == "Email"
| where DeviceCustomFloatingPoint1 > 10.0
| summarize Count=count() by SourceUserName
| top 5 by Count
| render barchart
廠商安裝指示
- Linux Syslog 代理程式的設定
此整合需要 Linux Syslog 代理程式,才可在連接埠 514 TCP 上將 Forcepoint 雲端安全性閘道網路/電子郵件記錄收集為常見事件格式 (CEF),並將其轉傳到 Microsoft Sentinel。
您的資料連接器 Syslog 代理程式安裝命令為:
sudo wget -O cef_installer.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/CEF/cef_installer.py&&sudo python cef_installer.py {0} {1}
- 實作選項
有兩個實作選項可用來進行整合。
2.1 Docker 實作
利用 Docker 映像,其中整合元件已隨所有必要的相依性一起安裝。
請遵循以下連結之整合指南中所提供的指示。
2.2 傳統實作
需要在全新 Linux 機器內手動部署整合元件。
請遵循以下連結之整合指南中所提供的指示。
- 驗證連線
依照指示驗證您的連線:
開啟 Log Analytics,檢查是否使用 CommonSecurityLog 結構描述接收記錄。
連線將資料串流至您的工作區可能需要 20 分鐘的時間。
若未收到記錄,請執行下列連線驗證指令碼:
- 請使用下列命令 python -version,確定您的機器上有 Python
- 您在機器上必須具有更高的權限 (sudo)
請執行下列命令驗證您的連線:
sudo wget -O cef_troubleshoot.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/CEF/cef_troubleshoot.py&&sudo python cef_troubleshoot.py {0}
- 保護您的機器
請務必根據組織的安全性原則設定機器的安全性
下一步
如需詳細資訊,請移至 Azure Marketplace 中的相關解決方案 (英文)。
意見反應
https://aka.ms/ContentUserFeedback。
即將登場:在 2024 年,我們將逐步淘汰 GitHub 問題作為內容的意見反應機制,並將它取代為新的意見反應系統。 如需詳細資訊,請參閱:提交並檢視相關的意見反應