[Preterido] Forcepoint CSG por meio do conector do Agente Herdado para o Microsoft Sentinel
O Cloud Security Gateway é um serviço de segurança de nuvem convergente que fornece visibilidade, controle e proteção contra ameaças a usuários e dados, onde quer que eles estejam. Para obter mais informações, acesse: https://www.forcepoint.com/product/cloud-security-gateway
Atributos do conector
Atributo do conector | Description |
---|---|
Tabela(s) do Log Analytics | CommonSecurityLog (Forcepoint CSG) CommonSecurityLog (Forcepoint CSG) |
Suporte às regras de coleta de dados | DCR de transformação do espaço de trabalho |
Com suporte por | Comunidade |
Exemplos de consulta
Cinco principais domínios solicitados na Web com severidade de log igual a 6 (média)
CommonSecurityLog
| where TimeGenerated <= ago(0m)
| where DeviceVendor == "Forcepoint CSG"
| where DeviceProduct == "Web"
| where LogSeverity == 6
| where DeviceCustomString2 != ""
| summarize Count=count() by DeviceCustomString2
| top 5 by Count
| render piechart
Cinco principais usuários da Web com 'Ação' igual a 'Bloqueado'
CommonSecurityLog
| where TimeGenerated <= ago(0m)
| where DeviceVendor == "Forcepoint CSG"
| where DeviceProduct == "Web"
| where Activity == "Blocked"
| where SourceUserID != "Not available"
| summarize Count=count() by SourceUserID
| top 5 by Count
| render piechart
Cinco principais endereços de email de remetente em que a pontuação de spam é maior que 10,0
CommonSecurityLog
| where TimeGenerated <= ago(0m)
| where DeviceVendor == "Forcepoint CSG"
| where DeviceProduct == "Email"
| where DeviceCustomFloatingPoint1 > 10.0
| summarize Count=count() by SourceUserName
| top 5 by Count
| render barchart
Instruções de instalação do fornecedor
- Configuração do agente de Syslog do Linux
Essa integração exige que o agente do Syslog do Linux colete os logs da Web e de email do Forcepoint Cloud Security Gateway na porta TCP 514 como CEF (Formato Comum de Evento) e encaminhe-os para o Microsoft Sentinel.
O comando de instalação do agente do Syslog do conector de dados é:
sudo wget -O cef_installer.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/CEF/cef_installer.py&&sudo python cef_installer.py {0} {1}
- Opções de implementação
A integração é disponibilizada com duas opções de implementações.
2.1 Implementação do Docker
Aproveita as imagens do Docker em que o componente de integração já está instalado com todas as dependências necessárias.
Siga as instruções fornecidas no Guia de Integração vinculado abaixo.
2.2 Implementação tradicional
Requer a implantação manual do componente de integração dentro de um computador Linux limpo.
Siga as instruções fornecidas no Guia de Integração vinculado abaixo.
- Validar conexão
Siga as instruções para validar sua conectividade:
Abra o Log Analytics para verificar se os logs são recebidos usando o esquema CommonSecurityLog.
Pode levar cerca de 20 minutos até que a conexão transmita dados para o seu espaço de trabalho.
Se os logs não forem recebidos, execute o seguinte script de validação de conectividade:
- Certifique-se de que você tem o Python instalado no seu computador usando o seguinte comando: python -version
- Você precisa ter permissões elevadas (sudo) no seu computador
Execute o seguinte comando para validar a sua conectividade:
sudo wget -O cef_troubleshoot.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/CEF/cef_troubleshoot.py&&sudo python cef_troubleshoot.py {0}
- Proteja seu computador
Certifique-se de configurar a segurança do computador de acordo com a política de segurança da sua organização
Próximas etapas
Para obter mais informações, acesse a solução relacionada no Azure Marketplace.