[Zalecane] Forcepoint NGFW za pośrednictwem łącznika AMA dla usługi Microsoft Sentinel
Łącznik Forcepoint NGFW (Zapora nowej generacji) umożliwia automatyczne eksportowanie dzienników programu Forcepoint NGFW zdefiniowanych przez użytkownika do usługi Microsoft Sentinel w czasie rzeczywistym. Wzbogaca to wgląd w działania użytkowników zarejestrowane przez NGFW, umożliwia dalszą korelację z danymi z obciążeń platformy Azure i innych źródeł danych oraz zwiększa możliwości monitorowania za pomocą skoroszytów w usłudze Microsoft Sentinel.
atrybuty Połączenie or
atrybut Połączenie or | opis |
---|---|
Tabele usługi Log Analytics | CommonSecurityLog (ForcePointNGFW) |
Obsługa reguł zbierania danych | DcR agenta usługi Azure Monitor |
Obsługiwane przez | Community |
Przykłady zapytań
Pokaż wszystkie zakończone akcje z programu Forcepoint NGFW
CommonSecurityLog
| where DeviceVendor == "Forcepoint"
| where DeviceProduct == "NGFW"
| where DeviceAction == "Terminate"
Pokaż wszystkie elementy Forcepoint NGFW z podejrzeniem naruszenia bezpieczeństwa
CommonSecurityLog
| where DeviceVendor == "Forcepoint"
| where DeviceProduct == "NGFW"
| where Activity contains "compromise"
Pokaż grupowanie wszystkich zdarzeń NGFW programu Forcepoint według typu działania
CommonSecurityLog
| where DeviceVendor == "Forcepoint"
| where DeviceProduct == "NGFW"
| summarize count=count() by Activity
| render barchart
Wymagania wstępne
Aby zintegrować aplikację [Zalecane] Forcepoint NGFW za pośrednictwem usługi AMA, upewnij się, że:
- : Aby zbierać dane z maszyn wirtualnych spoza platformy Azure, muszą mieć zainstalowaną i włączoną usługę Azure Arc. Dowiedz się więcej
- : Typowe formaty zdarzeń (CEF) za pośrednictwem usługi AMA i dziennika systemowego za pośrednictwem łączników danych usługi AMA muszą być zainstalowane Dowiedz się więcej
Instrukcje instalacji dostawcy
Zainstaluj i skonfiguruj agenta systemu Linux w celu zbierania komunikatów dziennika systemu Common Event Format (CEF) i przekazywania ich do usługi Microsoft Sentinel.
Zwróć uwagę, że dane ze wszystkich regionów będą przechowywane w wybranym obszarze roboczym
- Zabezpieczanie maszyny
Upewnij się, że skonfigurować zabezpieczenia maszyny zgodnie z zasadami zabezpieczeń organizacji
- Przewodnik instalacji integracji programu ForcePoint
Aby ukończyć instalację tej integracji produktu Forcepoint, postępuj zgodnie z poniższym przewodnikiem.
Następne kroki
Aby uzyskać więcej informacji, przejdź do powiązanego rozwiązania w witrynie Azure Marketplace.