[Empfohlen] Forcepoint CASB über AMA-Connector für Microsoft Sentinel
Mit dem Connector „Forcepoint CASB“ (Cloud Access Security Broker) können CASB-Protokolle und -Ereignisse automatisch und in Echtzeit in Microsoft Sentinel exportiert werden. So erhalten Sie einen umfassenderen Einblick in Benutzeraktivitäten für mehrere Standorte und Cloudanwendungen, weitere Korrelationsmöglichkeiten mit Daten aus Azure-Workloads und anderen Feeds sowie eine verbesserte Überwachungsfunktion mit Arbeitsmappen in Azure Sentinel.
Connector-Attribute
Connectorattribut | BESCHREIBUNG |
---|---|
Log Analytics-Tabellen | CommonSecurityLog (ForcepointCASB) |
Unterstützung für Datensammlungsregeln | Azure Monitor-Agent-DCR |
Unterstützt von | Community |
Abfragebeispiele
Erste 5 Benutzer mit der höchsten Anzahl von Protokollen
CommonSecurityLog
| summarize Count = count() by DestinationUserName
| top 5 by DestinationUserName
| render barchart
**Erste 5 Benutzer nach Anzahl fehlerhafter Versuche**
CommonSecurityLog
| extend outcome = coalesce(column_ifexists("EventOutcome", ""), tostring(split(split(AdditionalExtensions, ";", 2)[0], "=", 1)[0]), "")
| extend reason = coalesce(column_ifexists("Reason", ""), tostring(split(split(AdditionalExtensions, ";", 3)[0], "=", 1)[0]), "")
| where outcome =="Failure"
| summarize Count= count() by DestinationUserName
| render barchart
Voraussetzungen
Um mit [Empfohlen] Forcepoint CASB über AMA zu integrieren, stellen Sie sicher, dass Sie folgendes haben:
- ****: Damit Daten von Nicht-Azure-VMs gesammelt werden können, muss auf diesen Azure Arc installiert und aktiviert sein. Weitere Informationen
- ****: Common Event Format (CEF) über AMA und Syslog über AMA-Datenconnectors müssen installiert werden. Weitere Informationen
Installationsanweisungen des Anbieters
Installieren und konfigurieren Sie den Linux-Agent, damit er Ihre CEF-Syslog-Nachrichten (Common Event Format) sammelt und an Microsoft Sentinel weiterleitet.
Beachten Sie, dass die Daten aus allen Regionen im ausgewählten Arbeitsbereich gespeichert werden.
- Sichern Ihres Computers
Stellen Sie sicher, dass Sie die Sicherheit des Computers gemäß der Sicherheitsrichtlinie Ihrer Organisation konfigurieren.
- Installationsleitfaden zur Forcepoint-Integration
Verwenden Sie den folgenden Leitfaden, um die Installation dieser Forcepoint-Produktintegration abzuschließen:
Nächste Schritte
Weitere Informationen finden Sie in der entsprechenden Lösung im Azure Marketplace.