[Zalecane] Forcepoint CASB za pośrednictwem łącznika AMA dla usługi Microsoft Sentinel

  • Artykuł

Program Forcepoint CASB (Cloud Access Security Broker) Połączenie or umożliwia automatyczne eksportowanie dzienników i zdarzeń CASB do usługi Microsoft Sentinel w czasie rzeczywistym. Ta funkcja wzbogaca wgląd w działania użytkowników w różnych lokalizacjach i aplikacjach w chmurze, umożliwia dalszą korelację z danymi z obciążeń platformy Azure i innych źródeł danych oraz zwiększa możliwości monitorowania za pomocą skoroszytów w usłudze Microsoft Sentinel.

atrybuty Połączenie or

atrybut Połączenie or opis
Tabele usługi Log Analytics CommonSecurityLog (ForcepointCASB)
Obsługa reguł zbierania danych DcR agenta usługi Azure Monitor
Obsługiwane przez Community

Przykłady zapytań

5 pierwszych użytkowników z największą liczbą dzienników

CommonSecurityLog 

| summarize Count = count() by DestinationUserName

| top 5 by DestinationUserName

| render barchart

**5 pierwszych użytkowników według liczby nieudanych prób**

CommonSecurityLog 

| extend outcome = coalesce(column_ifexists("EventOutcome", ""), tostring(split(split(AdditionalExtensions, ";", 2)[0], "=", 1)[0]), "")

| extend reason = coalesce(column_ifexists("Reason", ""), tostring(split(split(AdditionalExtensions, ";", 3)[0], "=", 1)[0]), "")

| where outcome =="Failure"

| summarize Count= count() by DestinationUserName

| render barchart

Wymagania wstępne

Aby przeprowadzić integrację z usługą [Zalecane] Forcepoint CASB za pośrednictwem usługi AMA, upewnij się, że:

  • : Aby zbierać dane z maszyn wirtualnych spoza platformy Azure, muszą mieć zainstalowaną i włączoną usługę Azure Arc. Dowiedz się więcej
  • : Typowe formaty zdarzeń (CEF) za pośrednictwem usługi AMA i dziennika systemowego za pośrednictwem łączników danych usługi AMA muszą być zainstalowane Dowiedz się więcej

Instrukcje instalacji dostawcy

Zainstaluj i skonfiguruj agenta systemu Linux w celu zbierania komunikatów dziennika systemu Common Event Format (CEF) i przekazywania ich do usługi Microsoft Sentinel.

Zwróć uwagę, że dane ze wszystkich regionów będą przechowywane w wybranym obszarze roboczym

  1. Zabezpieczanie maszyny

Upewnij się, że skonfigurować zabezpieczenia maszyny zgodnie z zasadami zabezpieczeń organizacji

Dowiedz się więcej >

  1. Przewodnik instalacji integracji programu ForcePoint

Aby ukończyć instalację tej integracji produktu Forcepoint, postępuj zgodnie z poniższym przewodnikiem.

Przewodnik instalacji >

Następne kroki

Aby uzyskać więcej informacji, przejdź do powiązanego rozwiązania w witrynie Azure Marketplace.