[Elavult] A CASB kényszerítése örökölt ügynök-összekötőn keresztül a Microsoft Sentinelhez
A Forcepoint CASB (Cloud Access Security Broker) Csatlakozás or lehetővé teszi a CASB-naplók és események automatikus exportálását a Microsoft Sentinelbe valós időben. Ez növeli a felhasználói tevékenységek láthatóságát a helyeken és a felhőalkalmazásokban, további korrelációt tesz lehetővé az Azure-számítási feladatokból és más hírcsatornákból származó adatokkal, és javítja a Microsoft Sentinel munkafüzeteivel való monitorozási képességet.
Csatlakozás or attribútumok
| Csatlakozás or attribútum | Leírás |
|---|---|
| Log Analytics-tábla(ok) | CommonSecurityLog (ForcepointCASB) |
| Adatgyűjtési szabályok támogatása | Munkaterület-átalakítás – DCR |
| Támogatja: | Közösség |
Példák lekérdezésekre
Az 5 legnagyobb számú naplóval rendelkező felhasználó
CommonSecurityLog
| summarize Count = count() by DestinationUserName
| top 5 by DestinationUserName
| render barchart
**Az 5 legjobb felhasználó a sikertelen kísérletek száma szerint **
CommonSecurityLog
| extend outcome = coalesce(column_ifexists("EventOutcome", ""), tostring(split(split(AdditionalExtensions, ";", 2)[0], "=", 1)[0]), "")
| extend reason = coalesce(column_ifexists("Reason", ""), tostring(split(split(AdditionalExtensions, ";", 3)[0], "=", 1)[0]), "")
| where outcome =="Failure"
| summarize Count= count() by DestinationUserName
| render barchart
Szállító telepítési útmutatója
- Linux Syslog-ügynök konfigurálása
Telepítse és konfigurálja a Linux-ügynököt, hogy összegyűjtse a Common Event Format (CEF) Syslog-üzeneteket, és továbbítsa őket a Microsoft Sentinelnek.
Figyelje meg, hogy az összes régió adatai a kijelölt munkaterületen lesznek tárolva
1.1 Linux-gép kiválasztása vagy létrehozása
Válasszon vagy hozzon létre egy Linux rendszerű gépet, amelyet a Microsoft Sentinel a biztonsági megoldás és a Microsoft Sentinel közötti proxyként fog használni. Ez a gép a helyszíni környezetben, az Azure-ban vagy más felhőkben is lehet.
1.2 A CEF-gyűjtő telepítése a Linux-gépen
Telepítse a Microsoft Monitoring Agentet a Linux rendszerű gépére, és konfigurálja a gépet a szükséges port figyelésére, és küldje el az üzeneteket a Microsoft Sentinel-munkaterületre. A CEF-gyűjtő cef-üzeneteket gyűjt az 514-ös TCP-porton.
- Győződjön meg arról, hogy a python a gépén a következő paranccsal van telepítve: python -version.
- Emelt szintű engedélyekkel (sudo) kell rendelkeznie a gépen.
Futtassa a következő parancsot a CEF-gyűjtő telepítéséhez és alkalmazásához:
sudo wget -O cef_installer.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/CEF/cef_installer.py&&sudo python cef_installer.py {0} {1}
- A Common Event Format (CEF) naplóinak továbbítása a Syslog-ügynöknek
Állítsa be a biztonsági megoldást, hogy CEF formátumban küldjön Syslog-üzeneteket a proxygépnek. Győződjön meg arról, hogy a naplókat a gép IP-címén lévő 514-ös TCP-portra küldi.
- Kapcsolat ellenőrzése
Kövesse az utasításokat a kapcsolat ellenőrzéséhez:
Nyissa meg a Log Analyticst annak ellenőrzéséhez, hogy a naplók a CommonSecurityLog sémával érkeznek-e.
Ez körülbelül 20 percet vehet igénybe, amíg a kapcsolat adatokat továbbít a munkaterületre.
Ha a naplók nem érkeztek meg, futtassa a következő kapcsolatérvényesítési szkriptet:
- Győződjön meg arról, hogy a számítógépen a Python a következő paranccsal található: python -version
- Emelt szintű engedélyekkel (sudo) kell rendelkeznie a gépen
Futtassa a következő parancsot a kapcsolat ellenőrzéséhez:
sudo wget -O cef_troubleshoot.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/CEF/cef_troubleshoot.py&&sudo python cef_troubleshoot.py {0}
- A gép védelme
Győződjön meg arról, hogy a gép biztonságát a szervezet biztonsági szabályzata szerint konfigurálja
- A ForcePoint integrációs telepítési útmutatója
A Forcepoint-termékintegráció telepítésének befejezéséhez kövesse az alábbi útmutatót.
Következő lépések
További információ: a kapcsolódó megoldás az Azure Marketplace-en.