[Inaktuell] Forcepoint CSG via legacy agent connector för Microsoft Sentinel
Forcepoint Cloud Security Gateway är en konvergerad molnsäkerhetstjänst som ger synlighet, kontroll och skydd mot hot för användare och data, oavsett var de befinner sig. Mer information finns i: https://www.forcepoint.com/product/cloud-security-gateway
Anslut ellerattribut
| Anslut ellerattribut | beskrivning |
|---|---|
| Log Analytics-tabeller | CommonSecurityLog (Forcepoint CSG) CommonSecurityLog (Forcepoint CSG) |
| Stöd för regler för datainsamling | DcR för arbetsytetransformering |
| Stöds av | Webbgrupp |
Exempel på frågor
De 5 vanligaste webbbegärande domänerna med loggens allvarlighetsgrad lika med 6 (medel)
CommonSecurityLog
| where TimeGenerated <= ago(0m)
| where DeviceVendor == "Forcepoint CSG"
| where DeviceProduct == "Web"
| where LogSeverity == 6
| where DeviceCustomString2 != ""
| summarize Count=count() by DeviceCustomString2
| top 5 by Count
| render piechart
De 5 främsta webbanvändare med "Åtgärd" lika med "Blockerad"
CommonSecurityLog
| where TimeGenerated <= ago(0m)
| where DeviceVendor == "Forcepoint CSG"
| where DeviceProduct == "Web"
| where Activity == "Blocked"
| where SourceUserID != "Not available"
| summarize Count=count() by SourceUserID
| top 5 by Count
| render piechart
De 5 främsta e-postadresserna för avsändare där skräppostpoängen är större än 10,0
CommonSecurityLog
| where TimeGenerated <= ago(0m)
| where DeviceVendor == "Forcepoint CSG"
| where DeviceProduct == "Email"
| where DeviceCustomFloatingPoint1 > 10.0
| summarize Count=count() by SourceUserName
| top 5 by Count
| render barchart
Installationsanvisningar för leverantör
- Konfiguration av Linux Syslog-agent
Den här integreringen kräver att Linux Syslog-agenten samlar in dina Webb-/e-postloggar för Forcepoint Cloud Security Gateway på port 514 TCP som Common Event Format (CEF) och vidarebefordrar dem till Microsoft Sentinel.
Installationskommandot för Data Anslut eller Syslog Agent är:
sudo wget -O cef_installer.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/CEF/cef_installer.py&&sudo python cef_installer.py {0} {1}
- Implementeringsalternativ
Integreringen görs tillgänglig med två implementeringsalternativ.
2.1 Docker-implementering
Använder docker-avbildningar där integreringskomponenten redan är installerad med alla nödvändiga beroenden.
Följ anvisningarna i integrationsguiden nedan.
2.2 Traditionellt genomförande
Kräver manuell distribution av integreringskomponenten i en ren Linux-dator.
Följ anvisningarna i integrationsguiden nedan.
- Verifiera anslutningen
Följ anvisningarna för att verifiera anslutningen:
Öppna Log Analytics för att kontrollera om loggarna tas emot med hjälp av CommonSecurityLog-schemat.
Det kan ta cirka 20 minuter innan anslutningen strömmar data till din arbetsyta.
Om loggarna inte tas emot kör du följande anslutningsverifieringsskript:
- Kontrollera att du har Python på datorn med följande kommando: python -version
- Du måste ha utökade behörigheter (sudo) på datorn
Kör följande kommando för att verifiera anslutningen:
sudo wget -O cef_troubleshoot.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/CEF/cef_troubleshoot.py&&sudo python cef_troubleshoot.py {0}
- Skydda datorn
Se till att konfigurera datorns säkerhet enligt organisationens säkerhetsprincip
Nästa steg
Mer information finns i den relaterade lösningen på Azure Marketplace.