[Recomendado] Forcepoint NGFW mediante conector AMA para Microsoft Sentinel

  • Artículo

El conector Forcepoint NGFW (firewall de próxima generación) le permite exportar automáticamente los registros de Forcepoint NGFW definidos por el usuario a Microsoft Sentinel en tiempo real. Como consecuencia, aumenta la visibilidad sobre las actividades de los usuarios que NGFW registra, permite una mayor correlación con los datos de las cargas de trabajo de Azure y otras fuentes, y mejora la capacidad de supervisión con los libros en Microsoft Sentinel.

Atributos del conector

Atributo del conector Descripción
Tabla de Log Analytics CommonSecurityLog (ForcePointNGFW)
Soporte de reglas de recopilación de datos DCR del agente de Azure Monitor
Compatible con Comunidad

Ejemplos de consultas

Mostrar todas las acciones terminadas desde Forcepoint NGFW


CommonSecurityLog

| where DeviceVendor == "Forcepoint"

| where DeviceProduct == "NGFW"

| where DeviceAction == "Terminate"

Mostrar todos los Forcepoint NGFW en los que se sospecha un comportamiento comprometido


CommonSecurityLog

| where DeviceVendor == "Forcepoint"

| where DeviceProduct == "NGFW"

| where Activity contains "compromise"

Mostrar gráfico que agrupe todos los eventos de Forcepoint NGFW por tipo de actividad


CommonSecurityLog

| where DeviceVendor == "Forcepoint"

| where DeviceProduct == "NGFW"

| summarize count=count() by Activity

| render barchart

Requisitos previos

Para integrar con [Recomendado] Forcepoint NGFW a través de AMA asegúrese de que tiene:

  • ****: para recopilar datos de máquinas virtuales que no son de Azure, deben tener Azure Arc instalado y habilitado. Más información
  • ****: Deben estar instalados los conectores de datos Formato de evento común (CEF) a través de AMA y Syslog a través de AMA. Más información

Instrucciones de instalación del proveedor

Instale y configure el agente de Linux para recopilar los mensajes de Syslog con el formato de evento común (CEF) y reenviarlos a Microsoft Sentinel.

Tenga en cuenta que los datos de todas las regiones se almacenarán en el área de trabajo seleccionada.

  1. Proteja la máquina

Asegúrese de configurar la seguridad de la máquina de acuerdo con la directiva de seguridad de su organización.

Más información>

  1. Guía de instalación de la integración de Forcepoint

Para completar la instalación de esta integración de producto Forcepoint, siga la guía vinculada a continuación.

Guía de instalación>

Pasos siguientes

Para obtener más información, vaya a la solución relacionada en Azure Marketplace.