共用方式為

Microsoft Sentinel 的 SonicWall 防火牆連接器

  • 發行項

通用事件格式 (CEF) 是 SonicWall 用來允許不同平台之間事件互操作性的 Syslog 訊息之上的業界標準格式。 藉由將 CEF 記錄連線到 Microsoft Sentinel,您可以利用每個記錄的搜尋與相互關聯、警示和威脅情報擴充。

這是自動產生的內容。 如需變更,請連絡解決方案提供者。

連線 or 屬性

連線 or 屬性 描述
Log Analytics 數據表(s) CommonSecurityLog (SonicWall)
數據收集規則支援 工作區轉換 DCR
支援者: SonicWall

查詢範例

所有記錄

CommonSecurityLog
| where DeviceVendor == "SonicWall"
| sort by TimeGenerated desc

依目的地IP和埠摘要

CommonSecurityLog
| where DeviceVendor == "SonicWall"
| summarize count() by DestinationIP, DestinationPort, TimeGenerated
| sort by TimeGenerated desc

顯示來自 SonicWall 防火牆的所有已捨棄流量

CommonSecurityLog
| where DeviceVendor == "SonicWall"
| where AdditionalExtensions contains "fw_action='drop'"

廠商安裝指示

  1. Linux Syslog 代理程式設定

安裝並設定 Linux 代理程式以收集您的一般事件格式 (CEF) Syslog 訊息,並將其轉送至 Microsoft Sentinel。

請注意,來自所有區域的數據會儲存在選取的工作區 1.1 選取或建立 Linux 計算機。

選取或建立 Microsoft Sentinel 將作為安全性解決方案與 Microsoft Sentinel 之間 Proxy 的 Linux 計算機,此計算機可以位於內部部署環境、Azure 或其他雲端上。

1.2 在 Linux 電腦上安裝 CEF 收集器

在Linux電腦上安裝 Microsoft Monitoring Agent,並將機器設定為在必要的埠上接聽,並將訊息轉寄至您的 Microsoft Sentinel 工作區。 CEF 收集器會收集埠 514 TCP 上的 CEF 訊息。

  1. 使用下列命令確定您的電腦上有 Python:python -version。

  2. 您在機器上必須具有更高的權限 (sudo)。 請執行下列命令安裝及套用 CEF 收集器:

    sudo wget -O cef_installer.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/CEF/cef_installer.py&&sudo python cef_installer.py [Workspace ID] [Workspace Primary Key]

  3. 將 SonicWall 防火牆一般事件格式 (CEF) 記錄轉送至 Syslog 代理程式

    將您的 SonicWall 防火牆設定為將 CEF 格式的 Syslog 訊息傳送至 Proxy 計算機。 請務必將記錄傳送至機器IP位址上的埠 514 TCP。

    請遵循指示。 然後確定您選取 [本機使用 4] 作為設施。 然後選取 ArcSight 作為 Syslog 格式。

  4. 驗證連線

請遵循指示來驗證您的連線能力:

開啟 Log Analytics 以檢查記錄是否使用 CommonSecurityLog 架構接收。

線上將數據串流至您的工作區可能需要大約 20 分鐘的時間。 如果未收到記錄,請執行下列連線驗證腳本:

  1. 使用下列命令確定您的電腦上有 Python:python -version

  2. 您必須在機器上擁有較高的許可權 (sudo),執行下列命令來驗證您的連線能力:

    sudo wget -O cef_troubleshoot.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/CEF/cef_troubleshoot.py&&sudo python cef_troubleshoot.py [Workspace ID]

  3. 保護您的機器

請務必根據組織的安全性原則來設定機器的安全性。

深入了解>

下一步

如需詳細資訊,請移至 Azure Marketplace 中的相關解決方案