Forcepoint CASB [Recomendado] por meio do conector do AMA para o Microsoft Sentinel
O Conector do Forcepoint CASB (Cloud Access Security Broker) permite exportar automaticamente logs e eventos do CASB para o Microsoft Sentinel em tempo real. Isso enriquece a visibilidade das atividades do usuário em vários locais e aplicativos de nuvem, permite uma correlação adicional com os dados de cargas de trabalho do Azure e outros feeds e aprimora a capacidade de monitoramento com pastas de trabalho dentro do Microsoft Sentinel.
Atributos do conector
Atributo do conector | Description |
---|---|
Tabela(s) do Log Analytics | CommonSecurityLog (ForcepointCASB) |
Suporte às regras de coleta de dados | DCR do Agente do Azure Monitor |
Com suporte por | Comunidade |
Exemplos de consulta
Cinco principais usuários com o maior número de logs
CommonSecurityLog
| summarize Count = count() by DestinationUserName
| top 5 by DestinationUserName
| render barchart
**Os cinco principais usuários por número de tentativas com falha **
CommonSecurityLog
| extend outcome = coalesce(column_ifexists("EventOutcome", ""), tostring(split(split(AdditionalExtensions, ";", 2)[0], "=", 1)[0]), "")
| extend reason = coalesce(column_ifexists("Reason", ""), tostring(split(split(AdditionalExtensions, ";", 3)[0], "=", 1)[0]), "")
| where outcome =="Failure"
| summarize Count= count() by DestinationUserName
| render barchart
Pré-requisitos
Para integrar com o Forcepoint CASB [Recomendado] por meio do AMA, verifique se você tem:
- ****: para coletar dados de VMs que não são do Azure, elas precisam ter o Azure Arc instalado e habilitado. Saiba mais
- ****: o CEF (Formato Comum de Evento) por meio do AMA e o Syslog por meio de conectores de dados do AMA devem ser instalados. Saiba mais
Instruções de instalação do fornecedor
Instale e configure o agente do Linux para coletar suas mensagens do Syslog no Formato Comum de Evento (CEF) e encaminhá-las para o Microsoft Sentinel.
Observe que os dados de todas as regiões serão armazenados no espaço de trabalho selecionado
- Proteja seu computador
Certifique-se de configurar a segurança do computador de acordo com a política de segurança da sua organização
- Guia de instalação de integração do Forcepoint
Para concluir a instalação dessa integração do produto Forcepoint, siga o guia vinculado abaixo.
Próximas etapas
Para obter mais informações, acesse a solução relacionada no Azure Marketplace.