[Doporučeno] Forcepoint CASB prostřednictvím konektoru AMA pro Microsoft Sentinel
Připojení or Forcepoint CASB (Cloud Access Security Broker) umožňuje automaticky exportovat protokoly a události CASB do Microsoft Sentinelu v reálném čase. To rozšiřuje přehled o aktivitách uživatelů v různých umístěních a cloudových aplikacích, umožňuje další korelaci s daty z úloh Azure a dalších informačních kanálů a zlepšuje možnosti monitorování pomocí sešitů v Microsoft Sentinelu.
atributy Připojení oru
atribut Připojení or | Popis |
---|---|
Tabulky Log Analytics | CommonSecurityLog (ForcepointCASB) |
Podpora pravidel shromažďování dat | DcR agenta služby Azure Monitor |
Podporováno | Community |
Ukázky dotazů
Prvních 5 uživatelů s nejvyšším počtem protokolů
CommonSecurityLog
| summarize Count = count() by DestinationUserName
| top 5 by DestinationUserName
| render barchart
**Prvních 5 uživatelů podle počtu neúspěšných pokusů **
CommonSecurityLog
| extend outcome = coalesce(column_ifexists("EventOutcome", ""), tostring(split(split(AdditionalExtensions, ";", 2)[0], "=", 1)[0]), "")
| extend reason = coalesce(column_ifexists("Reason", ""), tostring(split(split(AdditionalExtensions, ";", 3)[0], "=", 1)[0]), "")
| where outcome =="Failure"
| summarize Count= count() by DestinationUserName
| render barchart
Požadavky
Pokud chcete provést integraci s [doporučeno] ForcePoint CASB přes AMA, ujistěte se, že máte:
- : Pokud chcete shromažďovat data z virtuálních počítačů mimo Azure, musí mít nainstalovanou a povolenou službu Azure Arc. Další informace
- : Common Event Format (CEF) přes AMA a Syslog prostřednictvím datových konektorů AMA musí být nainstalované Další informace
Pokyny k instalaci dodavatele
Nainstalujte a nakonfigurujte agenta Linuxu tak, aby shromažďoval zprávy Syslogu ve formátu CEF (Common Event Format) a předával je do Služby Microsoft Sentinel.
Všimněte si, že data ze všech oblastí budou uložena ve vybraném pracovním prostoru.
- Zabezpečení počítače
Nezapomeňte nakonfigurovat zabezpečení počítače podle zásad zabezpečení vaší organizace.
- Průvodce instalací integrace forcepointu
Pokud chcete dokončit instalaci této integrace produktu ForcePoint, postupujte podle níže uvedené příručky.
Další kroky
Další informace najdete v souvisejícím řešení na Azure Marketplace.