Sophos XG Firewall-Connector für Microsoft Sentinel
Sophos XG Firewall ermöglicht Ihnen, Ihre Sophos XG Firewall-Protokolle auf einfache Weise mit Microsoft Sentinel zu verbinden, um Dashboards anzuzeigen, benutzerdefinierte Warnungen zu erstellen und Untersuchungen zu verbessern. Die Integration von Sophos XG Firewall in Microsoft Sentinel bietet mehr Einblick in den Firewalldatenverkehr Ihrer Organisation und verbessert die Sicherheitsüberwachungsfunktionen.
Dieser Inhalt wurde automatisch generiert. Wenden Sie sich im Zusammenhang mit Änderungen an den Lösungsanbieter.
Connectorattribute
| Connectorattribut | BESCHREIBUNG |
|---|---|
| Log Analytics-Tabellen | Syslog (SophosXGFirewall) |
| Unterstützung für Datensammlungsregeln | Transformations-DCR des Arbeitsbereichs |
| Unterstützt von | Microsoft Corporation |
Abfragebeispiele
Top 10 der abgelehnten Quell-IP-Adressen
SophosXGFirewall
| where Log_Type == "Firewall" and Status == "Deny"
| summarize count() by Src_IP
| top 10 by count_
Top 10 der abgelehnten Ziel-IP-Adressen
SophosXGFirewall
| where Log_Type == "Firewall" and Status == "Deny"
| summarize count() by Dst_IP
| top 10 by count_
Voraussetzungen
Für die Integration in Sophos XG Firewall stellen Sie Folgendes sicher:
- Sophos XG Firewall: Muss so konfiguriert werden, dass Protokolle über Syslog exportiert werden.
Installationsanweisungen des Anbieters
Hinweis
Damit dieser Datenconnector wie erwartet funktioniert, ist er von einem Parser abhängig, der auf einer Kusto-Funktion basiert, die als Teil der Lösung bereitgestellt wird. Um den Funktionscode in Log Analytics anzuzeigen, öffnen Sie das Blatt „Log Analytics-/Microsoft Sentinel-Protokolle“, klicken Sie auf „Funktionen“, suchen Sie nach dem Alias „Sophos XG Firewall“, und laden Sie den Funktionscode, oder klicken Sie hier. Geben Sie in der zweiten Zeile der Abfrage die Hostnamen Ihrer Sophos XG Firewall-Geräte und alle anderen eindeutigen Bezeichner für den Protokollstream ein. Die Aktivierung der Funktion dauert nach der Installation/Aktualisierung der Lösung in der Regel zehn bis 15 Minuten.
- Installieren und Onboarding des Agents für Linux
In der Regel sollten Sie den Agent auf einem anderen Computer als dem installieren, auf dem die Protokolle generiert werden.
Syslog-Protokolle werden nur von Linux-Agents gesammelt.
- Konfigurieren der zu erfassenden Protokolle
Konfigurieren Sie die zu erfassenden Einrichtungen und die zugehörigen Schweregrade.
Wählen Sie unter Konfiguration in den erweiterten Einstellungen des Arbeitsbereichs die Option Daten und dann Syslog aus.
Wählen Sie auf Nachstehende Konfiguration auf meine Computer anwenden aus, und wählen Sie die Einrichtungen und Schweregrade aus.
Klicken Sie auf Speichern.
Konfigurieren und verbinden Sie Sophos XG Firewall.
Befolgen Sie diese Anweisungen, um das Syslog-Streaming zu aktivieren. Verwenden Sie die IP-Adresse oder den Host-Namen für das Linux-Gerät mit installiertem Linux-Agent als Ziel-IP-Adresse.
Nächste Schritte
Weitere Informationen finden Sie in der entsprechenden Lösung im Azure Marketplace.