[已淘汰]透過適用於 sentinel Microsoft AMA 連接器的 Forcepoint CASB
重要
許多設備與裝置的記錄收集現在都透過下列項目支援:透過 AMA 的常見事件格式 (CEF)、透過 AMA 的 Syslog,或透過 Microsoft Sentinel 中 AMA 資料連接器的自訂記錄。 如需詳細資訊,請參閱尋找您的 Microsoft Sentinel 資料連接器。
Forcepoint CASB (雲端存取安全性代理人) 連接器可讓您即時自動將 CASB 記錄和事件匯出至 Microsoft Sentinel。 這會豐富跨位置與雲端應用程式的使用者活動可見性,使其能與來自 Azure 工作負載和其他摘要的資料進一步相互關聯,並透過 Microsoft Sentinel 內的活頁簿改善監視功能。
這是自動產生的內容。 如需變更,請連絡解決方案提供者。
連接器屬性
| 連接器屬性 | 描述 |
|---|---|
| 記錄分析資料表 | CommonSecurityLog (ForcepointCASB) |
| 資料收集規則支援 | 工作區轉換 DCR |
| 支援者 | Community |
查詢範例
依最高記錄數的前 5 名使用者
CommonSecurityLog
| summarize Count = count() by DestinationUserName
| top 5 by DestinationUserName
| render barchart
**依失敗嘗試次數的前 5 名使用者**
CommonSecurityLog
| extend outcome = coalesce(column_ifexists("EventOutcome", ""), tostring(split(split(AdditionalExtensions, ";", 2)[0], "=", 1)[0]), "")
| extend reason = coalesce(column_ifexists("Reason", ""), tostring(split(split(AdditionalExtensions, ";", 3)[0], "=", 1)[0]), "")
| where outcome =="Failure"
| summarize Count= count() by DestinationUserName
| render barchart
必要條件
若要透過 AMA 與 [已淘汰] Forcepoint CASB 整合,請確定您有:
廠商安裝指示
安裝並設定 Linux 代理程式,以收集常見事件格式 (CEF) 的 Syslog 訊息,然後將這些訊息轉送至 Microsoft Sentinel。
請注意,所有區域的資料皆會儲存在選取的工作區中
- 保護您的機器
請務必根據組織的安全性原則設定機器的安全性
- Forcepoint 整合安裝指南
若要完成此 Forcepoint 產品整合的安裝,請遵循以下連結的指南進行。
下一步
如需詳細資訊,請移至 Azure Marketplace 中的相關解決方案 (英文)。