[Doporučeno] Forcepoint CASB prostřednictvím konektoru AMA pro Microsoft Sentinel

  • Článek

Připojení or Forcepoint CASB (Cloud Access Security Broker) umožňuje automaticky exportovat protokoly a události CASB do Microsoft Sentinelu v reálném čase. To rozšiřuje přehled o aktivitách uživatelů v různých umístěních a cloudových aplikacích, umožňuje další korelaci s daty z úloh Azure a dalších informačních kanálů a zlepšuje možnosti monitorování pomocí sešitů v Microsoft Sentinelu.

atributy Připojení oru

atribut Připojení or Popis
Tabulky Log Analytics CommonSecurityLog (ForcepointCASB)
Podpora pravidel shromažďování dat DcR agenta služby Azure Monitor
Podporováno Community

Ukázky dotazů

Prvních 5 uživatelů s nejvyšším počtem protokolů

CommonSecurityLog 

| summarize Count = count() by DestinationUserName

| top 5 by DestinationUserName

| render barchart

**Prvních 5 uživatelů podle počtu neúspěšných pokusů **

CommonSecurityLog 

| extend outcome = coalesce(column_ifexists("EventOutcome", ""), tostring(split(split(AdditionalExtensions, ";", 2)[0], "=", 1)[0]), "")

| extend reason = coalesce(column_ifexists("Reason", ""), tostring(split(split(AdditionalExtensions, ";", 3)[0], "=", 1)[0]), "")

| where outcome =="Failure"

| summarize Count= count() by DestinationUserName

| render barchart

Požadavky

Pokud chcete provést integraci s [doporučeno] ForcePoint CASB přes AMA, ujistěte se, že máte:

  • : Pokud chcete shromažďovat data z virtuálních počítačů mimo Azure, musí mít nainstalovanou a povolenou službu Azure Arc. Další informace
  • : Common Event Format (CEF) přes AMA a Syslog prostřednictvím datových konektorů AMA musí být nainstalované Další informace

Pokyny k instalaci dodavatele

Nainstalujte a nakonfigurujte agenta Linuxu tak, aby shromažďoval zprávy Syslogu ve formátu CEF (Common Event Format) a předával je do Služby Microsoft Sentinel.

Všimněte si, že data ze všech oblastí budou uložena ve vybraném pracovním prostoru.

  1. Zabezpečení počítače

Nezapomeňte nakonfigurovat zabezpečení počítače podle zásad zabezpečení vaší organizace.

Další informace >

  1. Průvodce instalací integrace forcepointu

Pokud chcete dokončit instalaci této integrace produktu ForcePoint, postupujte podle níže uvedené příručky.

Průvodce instalací >

Další kroky

Další informace najdete v souvisejícím řešení na Azure Marketplace.