[Рекомендуется] Forcepoint NGFW через соединитель AMA для Microsoft Sentinel
Соединитель Forcepoint NGFW (брандмауэр следующего поколения) позволяет автоматически экспортировать пользовательские журналы Forcepoint NGFW в Microsoft Sentinel в режиме реального времени. Это расширяет видимость действий пользователей, записанных NGFW, обеспечивает дополнительную корреляцию с данными из рабочих нагрузок Azure и других веб-каналов и улучшает возможности мониторинга с помощью книг в Microsoft Sentinel.
атрибуты Подключение or
Атрибут соединителя | Description |
---|---|
Таблицы Log Analytics | CommonSecurityLog (ForcePointNGFW) |
Поддержка правил сбора данных | DCR агента Azure Monitor |
Поддерживается | Сообщество |
Примеры запросов
Отображение всех завершенных действий из Forcepoint NGFW
CommonSecurityLog
| where DeviceVendor == "Forcepoint"
| where DeviceProduct == "NGFW"
| where DeviceAction == "Terminate"
Показать все Forcepoint NGFW с предполагаемым поведением компрометации
CommonSecurityLog
| where DeviceVendor == "Forcepoint"
| where DeviceProduct == "NGFW"
| where Activity contains "compromise"
Отображение группировки всех событий Forcepoint NGFW по типу действия
CommonSecurityLog
| where DeviceVendor == "Forcepoint"
| where DeviceProduct == "NGFW"
| summarize count=count() by Activity
| render barchart
Необходимые компоненты
Чтобы интегрироваться с [рекомендуется] Forcepoint NGFW через AMA, убедитесь, что у вас есть:
- : для сбора данных из виртуальных машин, отличных от Azure, они должны быть установлены и включены в Azure Arc. Подробнее
- : общий формат событий (CEF) через AMA и Syslog через соединители данных AMA необходимо установить дополнительные сведения
Инструкции по установке поставщика
Установите и настройте агент Linux, чтобы собирать сообщения системного журнала общего формата событий (CEF) и пересылать их в Microsoft Sentinel.
Обратите внимание, что в выбранной рабочей области будут храниться данные из всех регионов
- Защита компьютера
Обязательно настройте безопасность компьютера в соответствии с политикой безопасности вашей организации.
- Руководство по установке интеграции Forcepoint
Чтобы завершить установку этой интеграции продуктов Forcepoint, следуйте приведенным ниже инструкциям.
Следующие шаги
Дополнительные сведения см. в связанном решении в Azure Marketplace.