[Afgeschaft] Forcepoint CASB via legacy agent-connector voor Microsoft Sentinel
Met de Forcepoint CASB (Cloud Access Security Broker) Verbinding maken or kunt u in realtime CASB-logboeken en -gebeurtenissen automatisch exporteren naar Microsoft Sentinel. Dit verrijkt de zichtbaarheid van gebruikersactiviteiten op verschillende locaties en cloudtoepassingen, maakt verdere correlatie mogelijk met gegevens van Azure-workloads en andere feeds en verbetert de bewakingsmogelijkheden met Workbooks in Microsoft Sentinel.
Verbinding maken orkenmerken
Verbinding maken orkenmerk | Omschrijving |
---|---|
Log Analytics-tabellen | CommonSecurityLog (ForcepointCASB) |
Ondersteuning voor regels voor gegevensverzameling | DCR voor werkruimtetransformatie |
Ondersteund door | Community |
Voorbeelden van query's
Top 5 gebruikers met het hoogste aantal logboeken
CommonSecurityLog
| summarize Count = count() by DestinationUserName
| top 5 by DestinationUserName
| render barchart
**Top 5 gebruikers op aantal mislukte pogingen **
CommonSecurityLog
| extend outcome = coalesce(column_ifexists("EventOutcome", ""), tostring(split(split(AdditionalExtensions, ";", 2)[0], "=", 1)[0]), "")
| extend reason = coalesce(column_ifexists("Reason", ""), tostring(split(split(AdditionalExtensions, ";", 3)[0], "=", 1)[0]), "")
| where outcome =="Failure"
| summarize Count= count() by DestinationUserName
| render barchart
Installatie-instructies van leverancier
- Configuratie van Linux Syslog-agent
Installeer en configureer de Linux-agent om uw CEF-berichten (Common Event Format) te verzamelen en door te sturen naar Microsoft Sentinel.
U ziet dat de gegevens uit alle regio's worden opgeslagen in de geselecteerde werkruimte
1.1 Een Linux-machine selecteren of maken
Selecteer of maak een Linux-computer die Door Microsoft Sentinel wordt gebruikt als proxy tussen uw beveiligingsoplossing en Microsoft Sentinel. Deze machine kan zich in uw on-premises omgeving, Azure of andere clouds bevinden.
1.2 Installeer de CEF-collector op de Linux-machine
Installeer de Microsoft Monitoring Agent op uw Linux-computer en configureer de computer om te luisteren op de benodigde poort en berichten door te sturen naar uw Microsoft Sentinel-werkruimte. De CEF-collector verzamelt CEF-berichten op poort 514 TCP.
- Zorg ervoor dat u Python op uw computer hebt met behulp van de volgende opdracht: python -version.
- U moet verhoogde machtigingen (sudo) hebben op uw computer.
Voer de volgende opdracht uit om de CEF-collector te installeren en toe te passen:
sudo wget -O cef_installer.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/CEF/cef_installer.py&&sudo python cef_installer.py {0} {1}
- CEF-logboeken (Common Event Format) doorsturen naar syslog-agent
Stel uw beveiligingsoplossing in om Syslog-berichten in CEF-indeling naar de proxycomputer te verzenden. Zorg ervoor dat u de logboeken naar poort 514 TCP verzendt op het IP-adres van de computer.
- Verbinding valideren
Volg de instructies om uw connectiviteit te valideren:
Open Log Analytics om te controleren of de logboeken worden ontvangen met behulp van het CommonSecurityLog-schema.
Het kan ongeveer 20 minuten duren voordat de verbinding gegevens naar uw werkruimte streamt.
Als de logboeken niet worden ontvangen, voert u het volgende verbindingsvalidatiescript uit:
- Zorg ervoor dat u Python op uw computer hebt met behulp van de volgende opdracht: python -version
- U moet verhoogde machtigingen (sudo) hebben op uw computer
Voer de volgende opdracht uit om uw connectiviteit te valideren:
sudo wget -O cef_troubleshoot.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/CEF/cef_troubleshoot.py&&sudo python cef_troubleshoot.py {0}
- Uw computer beveiligen
Zorg ervoor dat u de beveiliging van de machine configureert volgens het beveiligingsbeleid van uw organisatie
- Installatiehandleiding voor ForcePoint-integratie
Volg de onderstaande handleiding om de installatie van deze Forcepoint-productintegratie te voltooien.
Volgende stappen
Ga naar de gerelateerde oplossing in Azure Marketplace voor meer informatie.