[Zalecane] Forcepoint NGFW za pośrednictwem łącznika AMA dla usługi Microsoft Sentinel

  • Artykuł

Łącznik Forcepoint NGFW (Zapora nowej generacji) umożliwia automatyczne eksportowanie dzienników programu Forcepoint NGFW zdefiniowanych przez użytkownika do usługi Microsoft Sentinel w czasie rzeczywistym. Wzbogaca to wgląd w działania użytkowników zarejestrowane przez NGFW, umożliwia dalszą korelację z danymi z obciążeń platformy Azure i innych źródeł danych oraz zwiększa możliwości monitorowania za pomocą skoroszytów w usłudze Microsoft Sentinel.

atrybuty Połączenie or

atrybut Połączenie or opis
Tabele usługi Log Analytics CommonSecurityLog (ForcePointNGFW)
Obsługa reguł zbierania danych DcR agenta usługi Azure Monitor
Obsługiwane przez Community

Przykłady zapytań

Pokaż wszystkie zakończone akcje z programu Forcepoint NGFW


CommonSecurityLog

| where DeviceVendor == "Forcepoint"

| where DeviceProduct == "NGFW"

| where DeviceAction == "Terminate"

Pokaż wszystkie elementy Forcepoint NGFW z podejrzeniem naruszenia bezpieczeństwa


CommonSecurityLog

| where DeviceVendor == "Forcepoint"

| where DeviceProduct == "NGFW"

| where Activity contains "compromise"

Pokaż grupowanie wszystkich zdarzeń NGFW programu Forcepoint według typu działania


CommonSecurityLog

| where DeviceVendor == "Forcepoint"

| where DeviceProduct == "NGFW"

| summarize count=count() by Activity

| render barchart

Wymagania wstępne

Aby zintegrować aplikację [Zalecane] Forcepoint NGFW za pośrednictwem usługi AMA, upewnij się, że:

  • : Aby zbierać dane z maszyn wirtualnych spoza platformy Azure, muszą mieć zainstalowaną i włączoną usługę Azure Arc. Dowiedz się więcej
  • : Typowe formaty zdarzeń (CEF) za pośrednictwem usługi AMA i dziennika systemowego za pośrednictwem łączników danych usługi AMA muszą być zainstalowane Dowiedz się więcej

Instrukcje instalacji dostawcy

Zainstaluj i skonfiguruj agenta systemu Linux w celu zbierania komunikatów dziennika systemu Common Event Format (CEF) i przekazywania ich do usługi Microsoft Sentinel.

Zwróć uwagę, że dane ze wszystkich regionów będą przechowywane w wybranym obszarze roboczym

  1. Zabezpieczanie maszyny

Upewnij się, że skonfigurować zabezpieczenia maszyny zgodnie z zasadami zabezpieczeń organizacji

Dowiedz się więcej >

  1. Przewodnik instalacji integracji programu ForcePoint

Aby ukończyć instalację tej integracji produktu Forcepoint, postępuj zgodnie z poniższym przewodnikiem.

Przewodnik instalacji >

Następne kroki

Aby uzyskać więcej informacji, przejdź do powiązanego rozwiązania w witrynie Azure Marketplace.