[已淘汰]透過 Microsoft Sentinel 的舊版代理程式連接器強制端點 CSG
Forcepoint 雲端安全性閘道是一種聚合式雲端安全性服務,可為使用者和資料提供可見度、控制和威脅防護,無論身在何處。 如需詳細資訊,請造訪: https://www.forcepoint.com/product/cloud-security-gateway
連線or 屬性
連線or 屬性 | 描述 |
---|---|
Log Analytics 資料表(s) | CommonSecurityLog (Forcepoint CSG) CommonSecurityLog (Forcepoint CSG) |
資料收集規則支援 | 工作區轉換 DCR |
支援者 | Community |
查詢範例
記錄嚴重性等於 6 的前 5 個 Web 要求網域 (中)
CommonSecurityLog
| where TimeGenerated <= ago(0m)
| where DeviceVendor == "Forcepoint CSG"
| where DeviceProduct == "Web"
| where LogSeverity == 6
| where DeviceCustomString2 != ""
| summarize Count=count() by DeviceCustomString2
| top 5 by Count
| render piechart
前 5 名 Web 使用者,其「動作」等於「已封鎖」
CommonSecurityLog
| where TimeGenerated <= ago(0m)
| where DeviceVendor == "Forcepoint CSG"
| where DeviceProduct == "Web"
| where Activity == "Blocked"
| where SourceUserID != "Not available"
| summarize Count=count() by SourceUserID
| top 5 by Count
| render piechart
前 5 名寄件者電子郵件地址,其中垃圾郵件分數大於 10.0
CommonSecurityLog
| where TimeGenerated <= ago(0m)
| where DeviceVendor == "Forcepoint CSG"
| where DeviceProduct == "Email"
| where DeviceCustomFloatingPoint1 > 10.0
| summarize Count=count() by SourceUserName
| top 5 by Count
| render barchart
廠商安裝指示
- Linux Syslog 代理程式設定
此整合需要 Linux Syslog 代理程式收集埠 514 TCP 上的 Forcepoint 雲端安全性閘道 Web/電子郵件記錄作為一般事件格式 (CEF),並將其轉送到 Microsoft Sentinel。
您的資料連線或 Syslog Agent 安裝命令為:
sudo wget -O cef_installer.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/CEF/cef_installer.py&&sudo python cef_installer.py {0} {1}
- 實作選項
整合提供兩個實作選項。
2.1 Docker 實作
利用 Docker 映射,其中整合元件已隨所有必要的相依性一起安裝。
請遵循以下連結的整合指南中提供的指示。
2.2 傳統實作
需要在全新 Linux 機器內手動部署整合元件。
請遵循以下連結的整合指南中提供的指示。
- 驗證連線
請遵循指示來驗證您的連線能力:
開啟 Log Analytics 以檢查記錄是否使用 CommonSecurityLog 架構接收。
連線將資料串流至您的工作區可能需要大約 20 分鐘的時間。
如果未收到記錄,請執行下列連線驗證腳本:
- 使用下列命令確定您的電腦上有 Python:python -version
- 您必須在機器上擁有更高的許可權 (sudo)
執行下列命令來驗證您的連線能力:
sudo wget -O cef_troubleshoot.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/CEF/cef_troubleshoot.py&&sudo python cef_troubleshoot.py {0}
- 保護您的機器
請務必根據組織的安全性原則來設定電腦的安全性
下一步
如需詳細資訊,請移至 Azure Marketplace 中的相關解決方案 。