SonicWall Firewall-connector voor Microsoft Sentinel
Common Event Format (CEF) is een industriestandaardindeling boven op Syslog-berichten die door SonicWall worden gebruikt om interoperabiliteit van gebeurtenissen tussen verschillende platforms mogelijk te maken. Door uw CEF-logboeken te verbinden met Microsoft Sentinel, kunt u profiteren van zoek- en correlatie, waarschuwingen en bedreigingsinformatieverrijking voor elk logboek.
Dit is automatisch gegenereerde inhoud. Neem contact op met de provider van de oplossing voor wijzigingen.
Verbinding maken orkenmerken
Verbinding maken orkenmerk | Beschrijving |
---|---|
Log Analytics-tabellen | CommonSecurityLog (SonicWall) |
Ondersteuning voor regels voor gegevensverzameling | DCR voor werkruimtetransformatie |
Ondersteund door | Sonicwall |
Voorbeelden van query's
Alle logboeken
CommonSecurityLog
| where DeviceVendor == "SonicWall"
| sort by TimeGenerated desc
Samenvatten op doel-IP en poort
CommonSecurityLog
| where DeviceVendor == "SonicWall"
| summarize count() by DestinationIP, DestinationPort, TimeGenerated
| sort by TimeGenerated desc
Al het verwijderde verkeer van de SonicWall-firewall weergeven
CommonSecurityLog
| where DeviceVendor == "SonicWall"
| where AdditionalExtensions contains "fw_action='drop'"
Installatie-instructies van leverancier
- Configuratie van Linux Syslog-agent
Installeer en configureer de Linux-agent om uw CEF-berichten (Common Event Format) te verzamelen en door te sturen naar Microsoft Sentinel.
U ziet dat de gegevens uit alle regio's worden opgeslagen in de geselecteerde werkruimte 1.1 Een Linux-machine selecteren of maken.
Selecteer of maak een Linux-machine die Door Microsoft Sentinel wordt gebruikt als proxy tussen uw beveiligingsoplossing en Microsoft Sentinel. Deze machine kan zich in uw on-premises omgeving, Azure of andere clouds bevinden.
1.2 Installeer de CEF-collector op de Linux-machine
Installeer de Microsoft Monitoring Agent op uw Linux-computer en configureer de computer om te luisteren op de benodigde poort en berichten door te sturen naar uw Microsoft Sentinel-werkruimte. De CEF-collector verzamelt CEF-berichten op poort 514 TCP.
Zorg ervoor dat u Python op uw computer hebt met behulp van de volgende opdracht: python -version.
U moet verhoogde machtigingen (sudo) hebben op uw computer. Voer de volgende opdracht uit om de CEF-collector te installeren en toe te passen:
sudo wget -O cef_installer.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/CEF/cef_installer.py&&sudo python cef_installer.py [Workspace ID] [Workspace Primary Key]
CEF-logboeken (Common Event Format) van SonicWall Firewall doorsturen naar syslog-agent
Stel uw SonicWall Firewall in om Syslog-berichten in CEF-indeling naar de proxycomputer te verzenden. Zorg ervoor dat u de logboeken naar poort 514 TCP verzendt op het IP-adres van de computer.
Volg de instructies. Zorg er vervolgens voor dat u lokaal gebruik 4 als faciliteit selecteert. Selecteer vervolgens ArcSight als de Syslog-indeling.
Verbinding valideren
Volg de instructies om uw connectiviteit te valideren:
Open Log Analytics om te controleren of de logboeken worden ontvangen met behulp van het CommonSecurityLog-schema.
Het kan ongeveer 20 minuten duren voordat de verbinding gegevens naar uw werkruimte streamt. Als de logboeken niet worden ontvangen, voert u het volgende verbindingsvalidatiescript uit:
Zorg ervoor dat u Python op uw computer hebt met behulp van de volgende opdracht: python -version
U moet verhoogde machtigingen (sudo) hebben op uw computer voer de volgende opdracht uit om uw connectiviteit te valideren:
sudo wget -O cef_troubleshoot.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/CEF/cef_troubleshoot.py&&sudo python cef_troubleshoot.py [Workspace ID]
Uw computer beveiligen
Zorg ervoor dat u de beveiliging van de machine configureert volgens het beveiligingsbeleid van uw organisatie.
Volgende stappen
Ga naar de gerelateerde oplossing in Azure Marketplace voor meer informatie.