[建議]透過 Microsoft Sentinel 的 AMA 連接器強制端點 NGFW
Forcepoint NGFW (新一代防火牆) 連接器可讓您即時自動將使用者定義的 Forcepoint NGFW 記錄匯出至 Microsoft Sentinel。 這會豐富 NGFW 所記錄的使用者活動可見度,讓 Azure 工作負載和其他摘要的資料進一步相互關聯,並改善 Microsoft Sentinel 內活頁簿的監視功能。
連線or 屬性
連線or 屬性 | 描述 |
---|---|
Log Analytics 資料表(s) | CommonSecurityLog (ForcePointNGFW) |
資料收集規則支援 | 工作區轉換 DCR |
支援者 | Community |
查詢範例
顯示 Forcepoint NGFW 中所有已終止的動作
CommonSecurityLog
| where DeviceVendor == "Forcepoint"
| where DeviceProduct == "NGFW"
| where DeviceAction == "Terminate"
顯示所有 Forcepoint NGFW 與可疑的妥協行為
CommonSecurityLog
| where DeviceVendor == "Forcepoint"
| where DeviceProduct == "NGFW"
| where Activity contains "compromise"
依活動類型顯示所有 Forcepoint NGFW 事件的圖表群組
CommonSecurityLog
| where DeviceVendor == "Forcepoint"
| where DeviceProduct == "NGFW"
| summarize count=count() by Activity
| render barchart
必要條件
若要透過 AMA 與 [建議] Forcepoint NGFW 整合,請確定您有:
廠商安裝指示
安裝並設定 Linux 代理程式以收集您的一般事件格式 (CEF) Syslog 訊息,並將其轉送至 Microsoft Sentinel。
請注意,所有區域的資料皆會儲存在選取的工作區中
- 保護您的機器
請務必根據組織的安全性原則來設定電腦的安全性
- Forcepoint 整合安裝指南
若要完成此 Forcepoint 產品整合的安裝,請遵循以下連結的指南。
下一步
如需詳細資訊,請移至 Azure Marketplace 中的相關解決方案 。