Microsoft Sentinel 用 WatchGuard Firebox コネクタ

  • [アーティクル]

WatchGuard Firebox (https://www.watchguard.com/wgrd-products/firewall-applianceshttps://www.watchguard.com/wgrd-products/cloud-and-virtual-firewalls) は、セキュリティ製品またはファイアウォール アプライアンスです。 Watchguard Firebox は、Watchguard Firebox コレクター エージェントに syslog を送信し、その後、メッセージをワークスペースに送信します。

コネクタの属性

コネクタ属性 説明
Log Analytics テーブル Syslog (WatchGuardFirebox)
データ収集ルールのサポート ワークスペース変換 DCR
サポートしているもの WatchGuard

クエリのサンプル

過去 24 時間以内の上位 10 Firebox

WatchGuardFirebox

| where TimeGenerated >= ago(24h)

| summarize count() by HostName

| top 10 by count_ desc

過去 24 時間以内の、WatchGuard-XTM という名前の Firebox の上位 10 のメッセージ

WatchGuardFirebox

| where HostName contains 'WatchGuard-XTM'

| where TimeGenerated >= ago(24h)

| summarize count() by MessageId

| top 10 by count_ desc

過去 24 時間以内の、WatchGuard-XTM という名前の Firebox の上位 10 のアプリケーション

WatchGuardFirebox

| where HostName contains 'WatchGuard-XTM'

| where TimeGenerated >= ago(24h)

| summarize count() by Application

| top 10 by count_ desc

ベンダーのインストール手順

注: このデータ コネクタは、ソリューションの一部としてデプロイされている Kusto 関数に基づくパーサーを利用して正常に動作します。 Log Analytics で関数コードを表示するには、Log Analytics/Microsoft Sentinel ログ ブレードを開き、関数をクリックし、エイリアスWatchGuardFirebox を検索して関数コードを読み込みます。または、ここをクリックして、クエリの 2 行目に WatchGuardFirebox デバイスのホスト名と、ログストリームの他の一意の識別子を入力します。 この関数は、通常、ソリューションのインストール/更新後にアクティブ化されるまでに 10 から 15 分かかります。

  1. Linux 用エージェントをインストールおよびオンボードする

一般的に、エージェントは、ログが生成されるコンピューターとは別のコンピューターにインストールする必要があります。

Syslog ログは Linux エージェントからのみ収集されます。

  1. 収集するログを構成する

収集するファシリティとその重要度を構成します。

  1. ワークスペースの詳細設定の [構成] で、[データ] を選択し、[Syslog] を選択します。
  2. [下の構成をコンピューターに適用する] を選択し、ファシリティと重要度を選択します。
  3. [保存] をクリックします。

次のステップ

詳細については、Azure Marketplace の関連ソリューションに関するページを参照してください。