Microsoft Sentinel 用 Barracuda CloudGen Firewall コネクタ
Barracuda CloudGen Firewall (CGFW) コネクタを使用すると、Barracuda CGFW ログを Microsoft Sentinel に簡単に接続し、ダッシュボードの表示、カスタム アラートの作成、調査の改善を行うことができます。 これにより、組織のネットワークに関するより詳細な分析情報が得られ、セキュリティ運用機能が向上します。
コネクタの属性
| コネクタ属性 | 説明 |
|---|---|
| Log Analytics テーブル | Syslog (Barracuda) |
| データ収集ルールのサポート | ワークスペース変換 DCR |
| サポートしているもの | コミュニティ |
クエリのサンプル
すべてのログ
CGFWFirewallActivity
| sort by TimeGenerated
アクティブ ユーザーの上位 10 人 (過去 24 時間)
CGFWFirewallActivity
| extend User = coalesce(User, "Unauthenticated")
| summarize count() by User
| take 10
上位 10 件のアプリケーション (過去 24 時間)
CGFWFirewallActivity
| where isnotempty(Application)
| summarize count() by Application
| take 10
前提条件
Barracuda CloudGen Firewall と統合するには、次の機能があることを確認します。
- Barracuda CloudGen Firewall: Syslog 経由でログをエクスポートするように構成する必要があります
ベンダーのインストール手順
注: このデータ コネクタは、ソリューションの一部としてデプロイされている Kusto 関数に基づくパーサーを利用して正常に動作します。 Log Analytics で関数コードを表示するには、Log Analytics/Microsoft Sentinel ログ ブレードを開き、[関数] をクリックして別名 CGFWFirewallActivity を検索し、関数コードを読み込むか、ここをクリックします。 この関数は、通常、ソリューションのインストール/更新後にアクティブ化されるまでに 10 から 15 分かかります。
Linux 用エージェントをインストールおよびオンボードする
一般的に、エージェントは、ログが生成されるコンピューターとは別のコンピューターにインストールする必要があります。
Syslog ログは Linux エージェントからのみ収集されます。
収集するログを構成する
収集するファシリティとその重要度を構成します。
- ワークスペースの詳細設定の [構成] で、[データ] を選択し、[Syslog] を選択します。
- [下の構成をコンピューターに適用する] を選択し、ファシリティと重要度を選択します。
- [保存] をクリックします。
Barracuda CloudGen Firewall を構成して接続する
Syslog ストリーミングを構成する手順 に従います。 宛先 IP アドレスに Microsoft Sentinel エージェントがインストールされている Linux マシンの IP アドレスまたはホスト名を使用します。
次のステップ
詳細については、Azure Marketplace の関連ソリューションに関するページを参照してください。