Conector Sophos XG Firewall para Microsoft Sentinel
O conector de dados Sophos XG Firewall permite conectar facilmente seus logs do Sophos XG Firewall ao Microsoft Sentinel para exibir painéis, criar alertas personalizados e melhorar a investigação. A integração do Sophos XG Firewall ao Microsoft Sentinel aumenta a visibilidade sobre o tráfego de firewall da organização e aprimora os recursos de monitoramento de segurança.
Atributos do conector
| Atributo do conector | Description |
|---|---|
| Tabela(s) do Log Analytics | Syslog (SophosXGFirewall) |
| Suporte às regras de coleta de dados | DCR de transformação do espaço de trabalho |
| Com suporte por | Microsoft Corporation |
Exemplos de consulta
10 principais IPs de origem negados
SophosXGFirewall
| where Log_Type == "Firewall" and Status == "Deny"
| summarize count() by Src_IP
| top 10 by count_
10 principais IPs de destino negados
SophosXGFirewall
| where Log_Type == "Firewall" and Status == "Deny"
| summarize count() by Dst_IP
| top 10 by count_
Pré-requisitos
Para fazer a integração com o Sophos XG Firewall, verifique se você tem:
- Sophos XG Firewall: precisa estar configurado para exportar logs via Syslog
Instruções de instalação do fornecedor
Observação
Esse conector de dados depende de um analisador baseado em uma Função Kusto para funcionar conforme o esperado, o que é implantado como parte da solução. Para exibir o código de função no Log Analytics, abra a folha Log Analytics/Logs do Microsoft Sentinel, clique em Funções e pesquise o alias Sophos XG Firewall e carregue o código da função ou clique aqui. Na segunda linha da consulta, insira os nomes de host dos dispositivos Sophos XG Firewall e quaisquer outros identificadores exclusivos para o logstream. A função geralmente leva de 10 a 15 minutos para ser ativada após a instalação/atualização da solução.
- Instalar e integrar o agente para Linux
De modo geral, você deve instalar o agente em um computador diferente daquele a partir do qual os logs são gerados.
Os logs do Syslog são coletados apenas junto a agentes do Linux.
- Configurar os logs a serem coletados
Configurar as facilidades que você deseja coletar e os respectivo níveis de gravidades.
Nas definições da Configuração avançada do workspace, selecione Dados e, em seguida, Syslog.
Selecione Aplicar a configuração abaixo às minhas máquinas e selecione as facilidades e níveis de gravidade.
Clique em Salvar.
Configurar e conectar o Sophos XG Firewall
Siga estas instruções para habilitar o streaming de syslog. Use o endereço IP ou o nome do host para o dispositivo Linux com o agente Linux instalado como o Endereço IP de Destino.
Próximas etapas
Para obter mais informações, acesse a solução relacionada no Azure Marketplace.