Łącznik zapory Barracuda CloudGen dla usługi Microsoft Sentinel

  • Artykuł

Łącznik Zapory Barracuda CloudGen (CGFW) umożliwia łatwe łączenie dzienników Barracuda CGFW z usługą Microsoft Sentinel w celu wyświetlania pulpitów nawigacyjnych, tworzenia alertów niestandardowych i ulepszania badania. Zapewnia to lepszy wgląd w sieć organizacji i zwiększa możliwości operacji zabezpieczeń.

Jest to automatycznie wygenerowana zawartość. W przypadku zmian skontaktuj się z dostawcą rozwiązania.

atrybuty Połączenie or

atrybut Połączenie or opis
Tabele usługi Log Analytics Syslog (Barracuda)
Obsługa reguł zbierania danych Przekształcanie obszaru roboczego DCR
Obsługiwane przez Community

Przykłady zapytań

Wszystkie dzienniki

CGFWFirewallActivity
         
| sort by TimeGenerated

10 aktywnych użytkowników (ostatnie 24 godziny)

CGFWFirewallActivity
         
| extend User = coalesce(User, "Unauthenticated") 
                 
| summarize count() by User
                 
| take 10

10 pierwszych aplikacji (ostatnie 24 godziny)

CGFWFirewallActivity
         
| where isnotempty(Application)
                 
| summarize count() by Application
                 
| take 10

Wymagania wstępne

Aby zintegrować aplikację Barracuda CloudGen Firewall, upewnij się, że:

  • Zapora Barracuda CloudGen: należy skonfigurować do eksportowania dzienników za pośrednictwem dziennika systemowego

Instrukcje instalacji dostawcy

UWAGA: Ten łącznik danych zależy od analizatora opartego na funkcji Kusto działającej zgodnie z oczekiwaniami, która jest wdrażana w ramach rozwiązania. Aby wyświetlić kod funkcji w usłudze Log Analytics, otwórz blok Dzienniki usługi Log Analytics/Microsoft Sentinel, kliknij pozycję Funkcje i wyszukaj alias CGFWFirewallActivity i załaduj kod funkcji lub kliknij tutaj. Aktywacja funkcji zwykle trwa od 10 do 15 minut po zainstalowaniu/aktualizacji rozwiązania.

  1. Instalowanie i dołączanie agenta dla systemu Linux

    Zazwyczaj należy zainstalować agenta na innym komputerze niż ten, na którym są generowane dzienniki.

    Dzienniki dziennika systemowego są zbierane tylko z agentów systemu Linux .

  2. Konfigurowanie dzienników do zebrania

Skonfiguruj obiekty, które chcesz zbierać, i ich ważności.

  1. W obszarze Konfiguracja ustawień zaawansowanych obszaru roboczego wybierz pozycję Dane, a następnie Pozycję Syslog.
  2. Wybierz pozycję Zastosuj poniżej konfiguracji do moich maszyn i wybierz obiekty i ważność.
  3. Kliknij przycisk Zapisz.

Konfigurowanie i łączenie zapory Barracuda CloudGen

Postępuj zgodnie z instrukcjami , aby skonfigurować przesyłanie strumieniowe dziennika systemu. Użyj adresu IP lub nazwy hosta dla maszyny z systemem Linux z zainstalowanym agentem usługi Microsoft Sentinel dla docelowego adresu IP.

Następne kroki

Aby uzyskać więcej informacji, przejdź do powiązanego rozwiązania w witrynie Azure Marketplace.