Forcepoint NGFW [Recomendado] por meio do conector do AMA para o Microsoft Sentinel
O conector do Forcepoint NGFW (Next Generation Firewall) permite exportar automaticamente os logs do Forcepoint NGFW definidos pelo usuário para o Microsoft Sentinel em tempo real. Isso enriquece a visibilidade das atividades do usuário registradas pelo NGFW, permite uma correlação adicional com os dados de cargas de trabalho do Azure e outros feeds e aprimora a funcionalidade de monitoramento com pastas de trabalho dentro do Microsoft Sentinel.
Atributos do conector
Atributo do conector | Description |
---|---|
Tabela(s) do Log Analytics | CommonSecurityLog (ForcePointNGFW) |
Suporte às regras de coleta de dados | DCR do Agente do Azure Monitor |
Com suporte por | Comunidade |
Exemplos de consulta
Mostrar todas as ações encerradas do Forcepoint NGFW
CommonSecurityLog
| where DeviceVendor == "Forcepoint"
| where DeviceProduct == "NGFW"
| where DeviceAction == "Terminate"
Mostrar todo o Forcepoint NGFW com suspeita de comportamento de comprometimento
CommonSecurityLog
| where DeviceVendor == "Forcepoint"
| where DeviceProduct == "NGFW"
| where Activity contains "compromise"
Mostrar gráfico agrupando todos os eventos do Forcepoint NGFW por tipo de atividade
CommonSecurityLog
| where DeviceVendor == "Forcepoint"
| where DeviceProduct == "NGFW"
| summarize count=count() by Activity
| render barchart
Pré-requisitos
Para integrar com o Forcepoint NGFW [Recomendado] por meio do AMA, verifique se você tem:
- ****: para coletar dados de VMs que não são do Azure, elas precisam ter o Azure Arc instalado e habilitado. Saiba mais
- ****: o CEF (Formato Comum de Evento) por meio do AMA e o Syslog por meio de conectores de dados do AMA devem ser instalados. Saiba mais
Instruções de instalação do fornecedor
Instale e configure o agente do Linux para coletar suas mensagens do Syslog no Formato Comum de Evento (CEF) e encaminhá-las para o Microsoft Sentinel.
Observe que os dados de todas as regiões serão armazenados no espaço de trabalho selecionado
- Proteja seu computador
Certifique-se de configurar a segurança do computador de acordo com a política de segurança da sua organização
- Guia de instalação de integração do Forcepoint
Para concluir a instalação dessa integração do produto Forcepoint, siga o guia vinculado abaixo.
Próximas etapas
Para obter mais informações, acesse a solução relacionada no Azure Marketplace.