[推奨]Microsoft Sentinel 用 AMA コネクタ経由の Forcepoint CSG
Forcepoint Cloud Security Gateway は、ユーザーとデータの場所にかかわらず、可視性、制御、脅威に対する保護を提供する、集約型クラウド セキュリティ サービスです。 詳細については、https://www.forcepoint.com/product/cloud-security-gateway を参照してください
コネクタの属性
コネクタ属性 | 説明 |
---|---|
Log Analytics テーブル | CommonSecurityLog (Forcepoint CSG) CommonSecurityLog (Forcepoint CSG) |
データ収集ルールのサポート | Azure Monitor エージェントの DCR |
サポートしているもの | コミュニティ |
クエリのサンプル
ログ重大度が 6 (中) であるドメインを要求した上位 5 個の Web
CommonSecurityLog
| where TimeGenerated <= ago(0m)
| where DeviceVendor == "Forcepoint CSG"
| where DeviceProduct == "Web"
| where LogSeverity == 6
| where DeviceCustomString2 != ""
| summarize Count=count() by DeviceCustomString2
| top 5 by Count
| render piechart
'Action' が 'Blocked' である上位 5 名の Web ユーザー
CommonSecurityLog
| where TimeGenerated <= ago(0m)
| where DeviceVendor == "Forcepoint CSG"
| where DeviceProduct == "Web"
| where Activity == "Blocked"
| where SourceUserID != "Not available"
| summarize Count=count() by SourceUserID
| top 5 by Count
| render piechart
スパムのスコアが 10.0 より大きい上位 5 件の送信者のメール アドレス
CommonSecurityLog
| where TimeGenerated <= ago(0m)
| where DeviceVendor == "Forcepoint CSG"
| where DeviceProduct == "Email"
| where DeviceCustomFloatingPoint1 > 10.0
| summarize Count=count() by SourceUserName
| top 5 by Count
| render barchart
前提条件
[推奨] Forcepoint CSG を AMA 経由で統合する場合は、次のことを確認してください。
- ****: Azure 以外の VM からデータを収集するには、Azure Arc をインストールして有効にする必要があります。 詳細情報
- ****: Common Event Format (CEF) via AMA と Syslog via AMA の各データ コネクタをインストールする必要があります。詳細情報
ベンダーのインストール手順
- コンピューターをセキュリティで保護する
必ず、組織のセキュリティ ポリシーに従ってコンピューターのセキュリティを構成してください
次のステップ
詳細については、Azure Marketplace の関連ソリューションに関するページを参照してください。