Konektor firewallu Sophos XG pro Microsoft Sentinel
Brána firewall Sophos XG umožňuje snadno propojit protokoly brány firewall Sophos XG se službou Microsoft Sentinel, zobrazit řídicí panely, vytvářet vlastní výstrahy a vylepšovat šetření. Integrace brány firewall Sophos XG s Microsoft Sentinelem poskytuje lepší přehled o provozu brány firewall vaší organizace a zlepší možnosti monitorování zabezpečení.
Jedná se o automaticky vygenerovaný obsah. Pokud potřebujete změny, obraťte se na poskytovatele řešení.
atributy Připojení oru
| atribut Připojení or | Popis |
|---|---|
| Tabulky Log Analytics | Syslog (SophosXGFirewall) |
| Podpora pravidel shromažďování dat | Transformace pracovního prostoru – DCR |
| Podporováno | Microsoft Corporation |
Ukázky dotazů
Prvních 10 odepřených zdrojových IP adres
SophosXGFirewall
| where Log_Type == "Firewall" and Status == "Deny"
| summarize count() by Src_IP
| top 10 by count_
Prvních 10 odepřených cílových IP adres
SophosXGFirewall
| where Log_Type == "Firewall" and Status == "Deny"
| summarize count() by Dst_IP
| top 10 by count_
Požadavky
Abyste se integrovali s bránou firewall Sophos XG, ujistěte se, že máte:
- Brána firewall Sophos XG: Musí být nakonfigurovaná pro export protokolů přes Syslog.
Pokyny k instalaci dodavatele
Poznámka:
Tento datový konektor závisí na analyzátoru založeném na funkci Kusto, která funguje podle očekávání, která se nasadí jako součást řešení. Pokud chcete zobrazit kód funkce v Log Analytics, otevřete okno Protokoly Log Analytics nebo Microsoft Sentinelu, klikněte na Functions a vyhledejte alias Sophos XG Firewall a načtěte kód funkce nebo klikněte sem, na druhém řádku dotazu zadejte názvy hostitelů vašich zařízení brány firewall Sophos XG a všechny další jedinečné identifikátory pro logstream. Aktivace funkce obvykle trvá 10 až 15 minut po instalaci nebo aktualizaci řešení.
- Instalace a onboarding agenta pro Linux
Obvykle byste měli agenta nainstalovat do jiného počítače, než na kterém se protokoly generují.
Protokoly syslogu se shromažďují jenom z agentů Linuxu .
- Konfigurace protokolů, které se mají shromažďovat
Nakonfigurujte zařízení, která chcete shromažďovat, a jejich závažnosti.
V části Konfigurace upřesňujícího nastavení pracovního prostoru vyberte Data a potom Syslog.
Na moje počítače vyberte Použít následující konfiguraci a vyberte zařízení a závažnosti.
Klikněte na Uložit.
Konfigurace a připojení brány firewall Sophos XG
Pokud chcete povolit streamování syslogu, postupujte podle těchto pokynů . Použijte IP adresu nebo název hostitele pro zařízení s Linuxem s agentem Linuxu nainstalovaným jako cílovou IP adresu.
Další kroky
Další informace najdete v souvisejícím řešení na Azure Marketplace.