Connecteur de pare-feu SonicWall pour Microsoft Sentinel
Le format d’événement courant (CEF) est un format standard du secteur en plus des messages Syslog. Il est utilisé par SonicWall pour permettre l’interopérabilité des événements entre différentes plateformes. En connectant vos journaux d’ CEF à Microsoft Sentinel, vous pouvez tirer parti de la corrélation et de la recherche, des alertes et de l’enrichissement de la veille des menaces pour chaque journal.
Ce contenu est généré automatiquement. Pour toute modification, contactez le fournisseur de la solution.
Attributs du connecteur
| Attribut du connecteur | Description |
|---|---|
| Table(s) Log Analytics | CommonSecurityLog (SonicWall) |
| Prise en charge des règles de collecte des données | Règles de collecte de données pour la transformation de l’espace de travail |
| Pris en charge par | SonicWall |
Exemples de requête
Tous les journaux d’activité
CommonSecurityLog
| where DeviceVendor == "SonicWall"
| sort by TimeGenerated desc
Résumer par port et adresse IP de destination
CommonSecurityLog
| where DeviceVendor == "SonicWall"
| summarize count() by DestinationIP, DestinationPort, TimeGenerated
| sort by TimeGenerated desc
Afficher tout le trafic abandonné à partir du pare-feu SonicWall
CommonSecurityLog
| where DeviceVendor == "SonicWall"
| where AdditionalExtensions contains "fw_action='drop'"
Instructions d’installation du fournisseur
- Configuration de l’agent Syslog Linux
Installez et configurez l’agent Linux pour collecter vos messages Syslog au format CEF (Common Event Format) et les transférer à Microsoft Sentinel.
Notez que les données de toutes les régions sont stockées dans l’espace de travail sélectionné 1.1 Sélectionnez ou créez une machine Linux.
Sélectionnez ou créez une machine Linux qui sera utilisée par Microsoft Sentinel comme proxy entre votre solution de sécurité et Microsoft Sentinel. Cette machine peut se trouver dans votre environnement local, dans Azure ou dans d’autres clouds.
1.2 Installer le collecteur CEF sur la machine Linux
Installez Microsoft Monitoring Agent sur votre ordinateur Linux et configurez l’ordinateur pour écouter sur le port nécessaire et transférer les messages vers votre espace de travail Microsoft Sentinel. Le collecteur CEF collecte les messages CEF sur le port 514 TCP.
Vérifiez que vous disposez de Python sur votre ordinateur à l’aide de la commande suivante : python -version.
Vous devez disposer d’autorisations élevées (sudo) sur votre machine. Exécutez la commande suivante pour installer et appliquer le collecteur CEF :
sudo wget -O cef_installer.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/CEF/cef_installer.py&&sudo python cef_installer.py [Workspace ID] [Workspace Primary Key]Transférer les journaux CEF SonicWall Firewall vers l’agent Syslog
Configurez votre pare-feu SonicWall pour envoyer des messages Syslog au format CEF à l’ordinateur proxy. Veillez à envoyer les journaux vers le port TCP 514 sur l’adresse IP de l’ordinateur.
Suivez les instructions. Ensuite, veillez à sélectionner l’utilisation locale 4 comme installation. Sélectionnez ensuite ArcSight comme format de Syslog.
Valider la connexion
Suivez les instructions pour valider votre connectivité :
Ouvrez Log Analytics pour vous assurer que les journaux sont reçus à l’aide du schéma CommonSecurityLog.
Il faut environ 20 minutes pour que la connexion diffuse des données dans votre espace de travail. Si les journaux ne sont pas reçus, exécutez le script de validation de connectivité suivant :
Vérifiez que vous disposez de Python sur votre ordinateur à l’aide de la commande suivante : python -version
Vous devez disposer d’autorisations élevées (sudo) sur votre ordinateur pour exécuter la commande suivante pour valider votre connectivité :
sudo wget -O cef_troubleshoot.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/CEF/cef_troubleshoot.py&&sudo python cef_troubleshoot.py [Workspace ID]Sécuriser votre machine
Veillez à configurer la sécurité de la machine en fonction de la stratégie de sécurité de votre organisation.
Étapes suivantes
Pour plus d’informations, accédez à la solution associée dans la Place de marché Azure.