Conector do Firebox do WatchGuard para Microsoft Sentinel
WatchGuard Firebox (https://www.watchguard.com/wgrd-products/firewall-appliances e https://www.watchguard.com/wgrd-products/cloud-and-virtual-firewalls) são produtos de segurança/dispositivos de firewall. O Watchguard Firebox enviará o syslog para o agente coletor do Watchguard Firebox. Em seguida, o agente envia a mensagem para o workspace.
Atributos do conector
Atributo do conector | Description |
---|---|
Tabela(s) do Log Analytics | Syslog (WatchGuardFirebox) |
Suporte às regras de coleta de dados | DCR de transformação do espaço de trabalho |
Com suporte por | WatchGuard |
Exemplos de consulta
As 10 principais Fireboxes nas últimas 24 horas
WatchGuardFirebox
| where TimeGenerated >= ago(24h)
| summarize count() by HostName
| top 10 by count_ desc
As 10 principais mensagens do Firebox chamado WatchGuard-XTM nas últimas 24 horas
WatchGuardFirebox
| where HostName contains 'WatchGuard-XTM'
| where TimeGenerated >= ago(24h)
| summarize count() by MessageId
| top 10 by count_ desc
Os 10 principais aplicativos do Firebox chamado WatchGuard-XTM nas últimas 24 horas
WatchGuardFirebox
| where HostName contains 'WatchGuard-XTM'
| where TimeGenerated >= ago(24h)
| summarize count() by Application
| top 10 by count_ desc
Instruções de instalação do fornecedor
OBSERVAÇÃO: Este conector de dados depende de um analisador baseado em uma Função Kusto para funcionar conforme o esperado, o que é implantado como parte da solução. Para exibir o código da função no Log Analytics, abra a folha Logs do Log Analytics/Microsoft Sentinel, clique em Funções, pesquise pelo alias WatchGuardFirebox e carregue o código da função ou clique aqui. Na segunda linha da consulta, insira os nomes de host de seus dispositivos WatchGuard Firebox e quaisquer outros identificadores exclusivos para o fluxo de log. A função geralmente leva de 10 a 15 minutos para ser ativada após a instalação/atualização da solução.
- Instalar e integrar o agente para Linux
De modo geral, você deve instalar o agente em um computador diferente daquele a partir do qual os logs são gerados.
Os logs do Syslog são coletados apenas junto a agentes do Linux.
- Configurar os logs a serem coletados
Configurar as facilidades que você deseja coletar e os respectivo níveis de gravidades.
- Nas definições da Configuração avançada do workspace, selecione Dados e, em seguida, Syslog.
- Selecione Aplicar a configuração abaixo às minhas máquinas e selecione as facilidades e níveis de gravidade.
- Clique em Save (Salvar).
Próximas etapas
Para obter mais informações, acesse a solução relacionada no Azure Marketplace.