[Zastaralé] Forcepoint CASB prostřednictvím konektoru starší verze agenta pro Microsoft Sentinel
Připojení or Forcepoint CASB (Cloud Access Security Broker) umožňuje automaticky exportovat protokoly a události CASB do Microsoft Sentinelu v reálném čase. To rozšiřuje přehled o aktivitách uživatelů v různých umístěních a cloudových aplikacích, umožňuje další korelaci s daty z úloh Azure a dalších informačních kanálů a zlepšuje možnosti monitorování pomocí sešitů v Microsoft Sentinelu.
atributy Připojení oru
atribut Připojení or | Popis |
---|---|
Tabulky Log Analytics | CommonSecurityLog (ForcepointCASB) |
Podpora pravidel shromažďování dat | Transformace pracovního prostoru – DCR |
Podporováno | Community |
Ukázky dotazů
Prvních 5 uživatelů s nejvyšším počtem protokolů
CommonSecurityLog
| summarize Count = count() by DestinationUserName
| top 5 by DestinationUserName
| render barchart
**Prvních 5 uživatelů podle počtu neúspěšných pokusů **
CommonSecurityLog
| extend outcome = coalesce(column_ifexists("EventOutcome", ""), tostring(split(split(AdditionalExtensions, ";", 2)[0], "=", 1)[0]), "")
| extend reason = coalesce(column_ifexists("Reason", ""), tostring(split(split(AdditionalExtensions, ";", 3)[0], "=", 1)[0]), "")
| where outcome =="Failure"
| summarize Count= count() by DestinationUserName
| render barchart
Pokyny k instalaci dodavatele
- Konfigurace agenta Syslog pro Linux
Nainstalujte a nakonfigurujte agenta Linuxu tak, aby shromažďoval zprávy Syslogu ve formátu CEF (Common Event Format) a předával je do Služby Microsoft Sentinel.
Všimněte si, že data ze všech oblastí budou uložena ve vybraném pracovním prostoru.
1.1 Výběr nebo vytvoření počítače s Linuxem
Vyberte nebo vytvořte počítač s Linuxem, který Bude Microsoft Sentinel používat jako proxy server mezi vaším řešením zabezpečení a Microsoft Sentinelem. Tento počítač může být ve vašem místním prostředí, v Azure nebo v jiných cloudech.
1.2 Instalace kolektoru CEF na počítači s Linuxem
Nainstalujte agenta Microsoft Monitoring Agent na počítač s Linuxem a nakonfigurujte počítač tak, aby naslouchal potřebným portům a přeposílal zprávy do pracovního prostoru Služby Microsoft Sentinel. Kolektor CEF shromažďuje zprávy CEF na portu 514 TCP.
- Pomocí následujícího příkazu se ujistěte, že máte na svém počítači Python: python -version.
- Na počítači musíte mít zvýšená oprávnění (sudo).
Spuštěním následujícího příkazu nainstalujte a použijte kolektor CEF:
sudo wget -O cef_installer.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/CEF/cef_installer.py&&sudo python cef_installer.py {0} {1}
- Předávání protokolů CEF (Common Event Format) do agenta Syslogu
Nastavte řešení zabezpečení tak, aby do proxy počítače odesílaly zprávy Syslog ve formátu CEF. Nezapomeňte protokoly odeslat na port 514 TCP na IP adrese počítače.
- Ověření připojení
Podle pokynů ověřte připojení:
Otevřete Log Analytics a zkontrolujte, jestli se protokoly přijímají pomocí schématu CommonSecurityLog.
Může to trvat přibližně 20 minut, než připojení streamuje data do vašeho pracovního prostoru.
Pokud protokoly nejsou přijaty, spusťte následující ověřovací skript připojení:
- Pomocí následujícího příkazu se ujistěte, že máte na počítači Python: python -version.
- Na počítači musíte mít zvýšená oprávnění (sudo).
Spuštěním následujícího příkazu ověřte připojení:
sudo wget -O cef_troubleshoot.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/CEF/cef_troubleshoot.py&&sudo python cef_troubleshoot.py {0}
- Zabezpečení počítače
Nezapomeňte nakonfigurovat zabezpečení počítače podle zásad zabezpečení vaší organizace.
- Průvodce instalací integrace forcepointu
Pokud chcete dokončit instalaci této integrace produktu ForcePoint, postupujte podle níže uvedené příručky.
Další kroky
Další informace najdete v souvisejícím řešení na Azure Marketplace.