Kusurda WAF Gateway gerecinizi Azure Sentinel 'e bağlama

Önemli

NSIS WAF Gateway Bağlayıcısı Şu anda Önizleme aşamasındadır. Beta, önizleme veya henüz genel kullanıma sunulmayan Azure özelliklerine uygulanan ek koşullar için Microsoft Azure önizlemeleri için ek kullanım koşulları 'na bakın.

Bu makalede, bir Azure Sentinel WAF Gateway gerecinizi Azure Sentinel 'e nasıl bağlayabileceğiniz açıklanır. Bu kusurda WAF Gateway veri Bağlayıcısı, çalışma kitaplarında verileri görüntüleyebilmeniz, özel uyarılar oluşturmak için onu kullanarak ve araştırmayı iyileştirebilmeniz için Azure Sentinel ile, nvva WAF Gateway günlüklerinizi kolayca bağlamanıza olanak tanır. Bu, bir Linux-biçimli syslog, Linux tabanlı bir günlük ileticisi ve Log Analytics aracısıdır.

Not

Veriler, Azure Sentinel çalıştırdığınız çalışma alanının coğrafi konumunda depolanır.

Önkoşullar

Azure Sentinel 'e, kusurda WAF ağ geçidi günlükleri gönderme

Günlük dosyalarını Azure Sentinel 'e almak için, FSA biçimindeki syslog iletilerini Linux tabanlı bir günlük iletme sunucusuna (rsyslog veya Syslog-ng çalıştıran) göndermek üzere, bağımsız ağ geçidi gerecinizi yapılandırın. Bu sunucuda Log Analytics Aracısı yüklü olacaktır ve Aracı günlükleri Azure Sentinel çalışma alanınıza iletir.

  1. Azure Sentinel gezinti menüsünde veri bağlayıcıları' nı seçin.

  2. Veri bağlayıcıları galerisinden, NVA WAF Gateway (Önizleme) öğesini seçin ve ardından bağlayıcı sayfasını açın.

  3. Yapılandırma altında, yönergeler sekmesindeki yönergeleri izleyin:

    1. 1 altında. Linux Syslog Aracısı yapılandırması -çalışır durumda bir günlük ileticisi yoksa veya başka bir tane gerekiyorsa bu adımı izleyin. Daha ayrıntılı yönergeler ve açıklamalar için bkz. 1. Adım: Azure Sentinel belgelerindeki günlük ileticisini dağıtma .

    2. 2 altında. Ortak olay biçimi (CEF) günlüklerini Syslog aracısına ilet -bu bağlayıcı, bir eylem arabirimi ve bir eylem IÇIN, SecureSphere MX yönetim konsolunda oluşturulacak şekilde ayarlanmış olması gerekir. Azure Sentinel 'de, nınva WAF Gateway uyarı günlüğünü etkinleştirmekiçin, NVA yönergelerini izleyin. Bu yapılandırma aşağıdaki öğeleri içermelidir:

      • Günlük hedefi – günlük iletme sunucunuzun ana bilgisayar adı ve/veya IP adresi
      • Protokol ve bağlantı noktası – TCP 514
      • Günlük biçimi – CEF
      • Günlük türleri: tümü kullanılabilir
    3. 3 ' ün altında . Bağlantıyı doğrulama -bağlayıcı sayfasına komutu kopyalayarak ve günlük ileticisinde çalıştırarak veri alımını doğrulayın. Daha ayrıntılı yönergeler ve açıklamalar için bkz. 3. Adım: Azure Sentinel belgelerindeki bağlantıyı doğrulama.

      Günlüklerinizin Log Analytics görünmeye başlaması 20 dakikaya kadar sürebilir.

Verilerinizi bulun

Başarılı bir bağlantı kurulduktan sonra, veriler günlüklerde, Azure Sentinel bölümünde, commonsecuritylog tablosunda görünür.

Log Analytics 'da, 1. isva WAF ağ geçidi verilerini sorgulamak için, aşağıdakileri seçtiğiniz şekilde, diğer filtreleri uygulayarak sorgu penceresine kopyalayın:

CommonSecurityLog 
| where DeviceVendor == "Imperva Inc." 
| where DeviceProduct == "WAF Gateway" 
| where TimeGenerated == ago(5m)

Daha kullanışlı sorgu örnekleri için bağlayıcı sayfasındaki sonraki adımlar sekmesine bakın.

Sonraki adımlar

Bu belgede, Azure Sentinel 'e, diğimiz bir ağ geçidini nasıl bağlayakullanacağınızı öğrendiniz. Azure Sentinel hakkında daha fazla bilgi edinmek için aşağıdaki makalelere bakın: