Forcepoint CASB [Recomendado] por meio do conector do AMA para o Microsoft Sentinel

  • Artigo

O Conector do Forcepoint CASB (Cloud Access Security Broker) permite exportar automaticamente logs e eventos do CASB para o Microsoft Sentinel em tempo real. Isso enriquece a visibilidade das atividades do usuário em vários locais e aplicativos de nuvem, permite uma correlação adicional com os dados de cargas de trabalho do Azure e outros feeds e aprimora a capacidade de monitoramento com pastas de trabalho dentro do Microsoft Sentinel.

Atributos do conector

Atributo do conector Description
Tabela(s) do Log Analytics CommonSecurityLog (ForcepointCASB)
Suporte às regras de coleta de dados DCR do Agente do Azure Monitor
Com suporte por Comunidade

Exemplos de consulta

Cinco principais usuários com o maior número de logs

CommonSecurityLog 

| summarize Count = count() by DestinationUserName

| top 5 by DestinationUserName

| render barchart

**Os cinco principais usuários por número de tentativas com falha **

CommonSecurityLog 

| extend outcome = coalesce(column_ifexists("EventOutcome", ""), tostring(split(split(AdditionalExtensions, ";", 2)[0], "=", 1)[0]), "")

| extend reason = coalesce(column_ifexists("Reason", ""), tostring(split(split(AdditionalExtensions, ";", 3)[0], "=", 1)[0]), "")

| where outcome =="Failure"

| summarize Count= count() by DestinationUserName

| render barchart

Pré-requisitos

Para integrar com o Forcepoint CASB [Recomendado] por meio do AMA, verifique se você tem:

  • ****: para coletar dados de VMs que não são do Azure, elas precisam ter o Azure Arc instalado e habilitado. Saiba mais
  • ****: o CEF (Formato Comum de Evento) por meio do AMA e o Syslog por meio de conectores de dados do AMA devem ser instalados. Saiba mais

Instruções de instalação do fornecedor

Instale e configure o agente do Linux para coletar suas mensagens do Syslog no Formato Comum de Evento (CEF) e encaminhá-las para o Microsoft Sentinel.

Observe que os dados de todas as regiões serão armazenados no espaço de trabalho selecionado

  1. Proteja seu computador

Certifique-se de configurar a segurança do computador de acordo com a política de segurança da sua organização

Saiba mais >

  1. Guia de instalação de integração do Forcepoint

Para concluir a instalação dessa integração do produto Forcepoint, siga o guia vinculado abaixo.

Guia de instalação >

Próximas etapas

Para obter mais informações, acesse a solução relacionada no Azure Marketplace.