Microsoft Sentinel 用レガシ エージェント経由の [非推奨] Forcepoint CASB コネクタ
Forcepoint CASB (クラウド アクセス セキュリティ ブローカー) コネクタを使用すると、CASB ログとイベントを自動的に Microsoft Sentinel にリアルタイムでエクスポートできます。 これにより、場所とクラウド アプリケーション全体のユーザー アクティビティの可視性が強化され、Azure ワークロードやその他のフィードからのデータの関連付けが向上し、Microsoft Sentinel 内のブックでの監視機能が向上します。
コネクタの属性
| コネクタ属性 | 説明 |
|---|---|
| Log Analytics テーブル | CommonSecurityLog (ForcepointCASB) |
| データ収集ルールのサポート | ワークスペース変換 DCR |
| サポートしているもの | コミュニティ |
クエリのサンプル
ログの数が最も多い上位 5 人のユーザー
CommonSecurityLog
| summarize Count = count() by DestinationUserName
| top 5 by DestinationUserName
| render barchart
**失敗した試行回数の上位 5 人のユーザー**
CommonSecurityLog
| extend outcome = coalesce(column_ifexists("EventOutcome", ""), tostring(split(split(AdditionalExtensions, ";", 2)[0], "=", 1)[0]), "")
| extend reason = coalesce(column_ifexists("Reason", ""), tostring(split(split(AdditionalExtensions, ";", 3)[0], "=", 1)[0]), "")
| where outcome =="Failure"
| summarize Count= count() by DestinationUserName
| render barchart
ベンダーのインストール手順
- Linux Syslog エージェントの構成
Linux エージェントをインストールし、Common Event Format (CEF) Syslog メッセージを収集して Microsoft Sentinel に転送するようにエージェントを構成します。
すべてのリージョンのデータが選択したワークスペースに格納されることに注目してください
1.1 Linux コンピューターを選択または作成する
セキュリティ ソリューションと Microsoft Sentinel の間のプロキシとして Microsoft Sentinel で使用される Linux マシンを選択または作成します。 このマシンは、オンプレミス環境、Azure、またはその他のクラウド上にあるものにすることができます。
1.2 Linux コンピューターに CEF コレクターをインストールする
Linux コンピューターに Microsoft Monitoring Agent をインストールし、必要なポートでリッスンして Microsoft Sentinel ワークスペースにメッセージを転送するようにコンピューターを構成します。 CEF コレクターにより、ポート 514 TCP で CEF メッセージが収集されます。
- コマンド python -version を使用して、コンピューターに Python がインストールされていることを確認します。
- マシンに対する管理者特権のアクセス許可 (sudo) が必要です。
次のコマンドを実行し、CEF コレクターをインストールして適用します。
sudo wget -O cef_installer.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/CEF/cef_installer.py&&sudo python cef_installer.py {0} {1}
- Common Event Format (CEF) ログを Syslog エージェントに転送する
Syslog メッセージを CEF 形式でプロキシ マシンに送信するように、セキュリティ ソリューションを設定します。 必ず、そのマシンの IP アドレスのポート 514 TCP にログを送信するようにしてください。
- 接続の検証
手順に従って接続を検証します。
Log Analytics を開き、CommonSecurityLog スキーマを使用してログが受信されているかどうかを確認します。
接続によってデータがワークスペースにストリーミングされるまで約 20 分かかる場合があります。
ログが受信されない場合は、次の接続検証スクリプトを実行します。
- コマンド python -version を使用して、コンピューターに Python がインストールされていることを確認します
- コンピューターに対する管理者特権のアクセス許可 (sudo) が必要です
次のコマンドを実行して、接続を検証します。
sudo wget -O cef_troubleshoot.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/CEF/cef_troubleshoot.py&&sudo python cef_troubleshoot.py {0}
- コンピューターをセキュリティで保護する
必ず、組織のセキュリティ ポリシーに従ってコンピューターのセキュリティを構成してください
- Forcepoint 統合インストール ガイド
この Forcepoint 製品統合のインストールを行うには、以下でリンクされているガイドに従ってください。
次のステップ
詳細については、Azure Marketplace の関連ソリューションに関するページを参照してください。