[Zalecane] Forcepoint CASB za pośrednictwem łącznika AMA dla usługi Microsoft Sentinel
Program Forcepoint CASB (Cloud Access Security Broker) Połączenie or umożliwia automatyczne eksportowanie dzienników i zdarzeń CASB do usługi Microsoft Sentinel w czasie rzeczywistym. Ta funkcja wzbogaca wgląd w działania użytkowników w różnych lokalizacjach i aplikacjach w chmurze, umożliwia dalszą korelację z danymi z obciążeń platformy Azure i innych źródeł danych oraz zwiększa możliwości monitorowania za pomocą skoroszytów w usłudze Microsoft Sentinel.
atrybuty Połączenie or
atrybut Połączenie or | opis |
---|---|
Tabele usługi Log Analytics | CommonSecurityLog (ForcepointCASB) |
Obsługa reguł zbierania danych | DcR agenta usługi Azure Monitor |
Obsługiwane przez | Community |
Przykłady zapytań
5 pierwszych użytkowników z największą liczbą dzienników
CommonSecurityLog
| summarize Count = count() by DestinationUserName
| top 5 by DestinationUserName
| render barchart
**5 pierwszych użytkowników według liczby nieudanych prób**
CommonSecurityLog
| extend outcome = coalesce(column_ifexists("EventOutcome", ""), tostring(split(split(AdditionalExtensions, ";", 2)[0], "=", 1)[0]), "")
| extend reason = coalesce(column_ifexists("Reason", ""), tostring(split(split(AdditionalExtensions, ";", 3)[0], "=", 1)[0]), "")
| where outcome =="Failure"
| summarize Count= count() by DestinationUserName
| render barchart
Wymagania wstępne
Aby przeprowadzić integrację z usługą [Zalecane] Forcepoint CASB za pośrednictwem usługi AMA, upewnij się, że:
- : Aby zbierać dane z maszyn wirtualnych spoza platformy Azure, muszą mieć zainstalowaną i włączoną usługę Azure Arc. Dowiedz się więcej
- : Typowe formaty zdarzeń (CEF) za pośrednictwem usługi AMA i dziennika systemowego za pośrednictwem łączników danych usługi AMA muszą być zainstalowane Dowiedz się więcej
Instrukcje instalacji dostawcy
Zainstaluj i skonfiguruj agenta systemu Linux w celu zbierania komunikatów dziennika systemu Common Event Format (CEF) i przekazywania ich do usługi Microsoft Sentinel.
Zwróć uwagę, że dane ze wszystkich regionów będą przechowywane w wybranym obszarze roboczym
- Zabezpieczanie maszyny
Upewnij się, że skonfigurować zabezpieczenia maszyny zgodnie z zasadami zabezpieczeń organizacji
- Przewodnik instalacji integracji programu ForcePoint
Aby ukończyć instalację tej integracji produktu Forcepoint, postępuj zgodnie z poniższym przewodnikiem.
Następne kroki
Aby uzyskać więcej informacji, przejdź do powiązanego rozwiązania w witrynie Azure Marketplace.