Share via

SonicWall Firewall-Connector für Microsoft Sentinel

  • Artikel

Das Common Event Format (CEF) ist ein branchenübliches Standardformat, das in Verbindung mit Syslog-Nachrichten von SonicWall verwendet wird, um die Interoperabilität von Ereignissen zwischen unterschiedlichen Plattformen zu ermöglichen. Indem Sie Ihre CEF-Protokolle mit Azure Sentinel verknüpfen, können Sie für jedes Protokoll Such- und Korrelationsfunktionen, Warnungen und Threat Intelligence-Anreicherung nutzen.

Dieser Inhalt wurde automatisch generiert. Wenden Sie sich im Zusammenhang mit Änderungen an den Lösungsanbieter.

Connectorattribute

Connectorattribut BESCHREIBUNG
Log Analytics-Tabellen CommonSecurityLog (SonicWall)
Unterstützung für Datensammlungsregeln Transformations-DCR des Arbeitsbereichs
Unterstützt von SonicWall

Abfragebeispiele

Alle Protokolle

CommonSecurityLog
| where DeviceVendor == "SonicWall"
| sort by TimeGenerated desc

Nach Ziel-IP und -Port zusammenfassen

CommonSecurityLog
| where DeviceVendor == "SonicWall"
| summarize count() by DestinationIP, DestinationPort, TimeGenerated
| sort by TimeGenerated desc

Alle verworfenen Datenpakete der SonicWall-Firewall anzeigen

CommonSecurityLog
| where DeviceVendor == "SonicWall"
| where AdditionalExtensions contains "fw_action='drop'"

Installationsanweisungen des Anbieters

  1. Konfiguration des Linux-Syslog-Agents

Installieren und konfigurieren Sie den Linux-Agent, damit er Ihre Common Event Format (CEF)-Syslog-Nachrichten sammelt und an Microsoft Sentinel weiterleitet.

Beachten Sie, dass die Daten aus allen Regionen im ausgewählten Arbeitsbereich „1.1 Auswählen oder Erstellen eines Linux-Computers“ gespeichert werden.

Wählen Sie einen Linux-Computer aus, oder erstellen Sie einen, den Microsoft Sentinel als Proxy zwischen Ihrer Sicherheitslösung und Microsoft Sentinel verwenden soll. Dieser Computer kann sich in Ihrer lokalen Umgebung, in Azure oder in anderen Clouds befinden.

1.2 CEF-Sammler auf dem Linux-Computer installieren

Installieren Sie den Microsoft Monitoring Agent auf Ihrem Linux-Computer, und konfigurieren Sie den Computer so, dass er am erforderlichen Port lauscht und Nachrichten an Ihren Microsoft Sentinel-Arbeitsbereich weiterleitet. Der CEF-Sammler sammelt CEF-Nachrichten an TCP-Port 514.

  1. Vergewissern Sie sich mithilfe des folgenden Befehls, dass Sie auf dem Computer über Python verfügen: python -version.

  2. Sie müssen über erhöhte Berechtigungen (sudo) auf dem Computer verfügen. Führen Sie den folgenden Befehl aus, um den CEF-Collector zu installieren und anzuwenden:

    sudo wget -O cef_installer.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/CEF/cef_installer.py&&sudo python cef_installer.py [Workspace ID] [Workspace Primary Key]

  3. SonicWall-CEF-Protokolle (Common Event Format) an den Syslog-Agent weiterleiten

    Stellen Sie Ihre SonicWall Firewall so ein, dass sie Syslog-Nachrichten im CEF-Format an den Proxycomputer sendet. Die Protokolle müssen über TCP-Port 514 an die IP-Adresse des Computers gesendet werden.

    Befolgen Sie die Anweisungen. Stellen Sie dann sicher, dass Sie die lokale Verwendung 4 als Facility auswählen. Wählen Sie dann ArcSight als Syslog-Format aus.

  4. Überprüfen der Verbindung

Folgen Sie den Anleitungen zum Überprüfen Ihrer Konnektivität:

Öffnen Sie Log Analytics, um mithilfe des CommonSecurityLog-Schemas zu überprüfen, ob die Protokolle empfangen werden.

Es kann ungefähr 20 Minuten dauern, bis die Verbindung Daten in Ihren Arbeitsbereich streamt. Wenn die Protokolle nicht empfangen werden, führen Sie das folgende Skript für Konnektivitätsprüfung aus:

  1. Vergewissern Sie sich mithilfe des folgenden Befehls, dass Sie auf Ihrem Computer über Python verfügen: python -version.

  2. Sie müssen über erhöhte Berechtigungen (sudo) auf Ihrem Computer verfügen. Führen Sie den folgenden Befehl aus, um Ihre Konnektivität zu überprüfen:

    sudo wget -O cef_troubleshoot.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/CEF/cef_troubleshoot.py&&sudo python cef_troubleshoot.py [Workspace ID]

  3. Sichern Ihres Computers

Stellen Sie sicher, dass Sie die Sicherheit des Computers gemäß der Sicherheitsrichtlinie Ihrer Organisation konfigurieren.

Weitere Informationen>

Nächste Schritte

Weitere Informationen finden Sie in der entsprechenden Lösung im Azure Marketplace.