Conector do Firebox do WatchGuard para Microsoft Sentinel

  • Artigo

WatchGuard Firebox (https://www.watchguard.com/wgrd-products/firewall-appliances e https://www.watchguard.com/wgrd-products/cloud-and-virtual-firewalls) são produtos de segurança/dispositivos de firewall. O Watchguard Firebox enviará o syslog para o agente coletor do Watchguard Firebox. Em seguida, o agente envia a mensagem para o workspace.

Atributos do conector

Atributo do conector Description
Tabela(s) do Log Analytics Syslog (WatchGuardFirebox)
Suporte às regras de coleta de dados DCR de transformação do espaço de trabalho
Com suporte por WatchGuard

Exemplos de consulta

As 10 principais Fireboxes nas últimas 24 horas

WatchGuardFirebox

| where TimeGenerated >= ago(24h)

| summarize count() by HostName

| top 10 by count_ desc

As 10 principais mensagens do Firebox chamado WatchGuard-XTM nas últimas 24 horas

WatchGuardFirebox

| where HostName contains 'WatchGuard-XTM'

| where TimeGenerated >= ago(24h)

| summarize count() by MessageId

| top 10 by count_ desc

Os 10 principais aplicativos do Firebox chamado WatchGuard-XTM nas últimas 24 horas

WatchGuardFirebox

| where HostName contains 'WatchGuard-XTM'

| where TimeGenerated >= ago(24h)

| summarize count() by Application

| top 10 by count_ desc

Instruções de instalação do fornecedor

OBSERVAÇÃO: Este conector de dados depende de um analisador baseado em uma Função Kusto para funcionar conforme o esperado, o que é implantado como parte da solução. Para exibir o código da função no Log Analytics, abra a folha Logs do Log Analytics/Microsoft Sentinel, clique em Funções, pesquise pelo alias WatchGuardFirebox e carregue o código da função ou clique aqui. Na segunda linha da consulta, insira os nomes de host de seus dispositivos WatchGuard Firebox e quaisquer outros identificadores exclusivos para o fluxo de log. A função geralmente leva de 10 a 15 minutos para ser ativada após a instalação/atualização da solução.

  1. Instalar e integrar o agente para Linux

De modo geral, você deve instalar o agente em um computador diferente daquele a partir do qual os logs são gerados.

Os logs do Syslog são coletados apenas junto a agentes do Linux.

  1. Configurar os logs a serem coletados

Configurar as facilidades que você deseja coletar e os respectivo níveis de gravidades.

  1. Nas definições da Configuração avançada do workspace, selecione Dados e, em seguida, Syslog.
  2. Selecione Aplicar a configuração abaixo às minhas máquinas e selecione as facilidades e níveis de gravidade.
  3. Clique em Save (Salvar).

Próximas etapas

Para obter mais informações, acesse a solução relacionada no Azure Marketplace.