[Kullanım dışı] Microsoft Sentinel için Eski Aracı bağlayıcısı aracılığıyla Forcepoint CSG
Forcepoint Cloud Security Gateway, nerede olurlarsa olsunlar kullanıcılar ve veriler için görünürlük, denetim ve tehdit koruması sağlayan yakınsanmış bir bulut güvenlik hizmetidir. Daha fazla bilgi için şu adresi ziyaret edin: https://www.forcepoint.com/product/cloud-security-gateway
Bağlan or öznitelikleri
Bağlan or özniteliği | Açıklama |
---|---|
Log Analytics tabloları | CommonSecurityLog (Forcepoint CSG) CommonSecurityLog (Forcepoint CSG) |
Veri toplama kuralları desteği | Çalışma alanı dönüştürme DCR |
Destekleyen: | Community |
Sorgu örnekleri
Günlük önem derecesi 6'ya eşit (Orta) olan web'de istenen ilk 5 Etki Alanı
CommonSecurityLog
| where TimeGenerated <= ago(0m)
| where DeviceVendor == "Forcepoint CSG"
| where DeviceProduct == "Web"
| where LogSeverity == 6
| where DeviceCustomString2 != ""
| summarize Count=count() by DeviceCustomString2
| top 5 by Count
| render piechart
'Eylem' değeri 'Engellendi' olan İlk 5 Web Kullanıcısı
CommonSecurityLog
| where TimeGenerated <= ago(0m)
| where DeviceVendor == "Forcepoint CSG"
| where DeviceProduct == "Web"
| where Activity == "Blocked"
| where SourceUserID != "Not available"
| summarize Count=count() by SourceUserID
| top 5 by Count
| render piechart
İstenmeyen Posta Puanının 10,0'dan Büyük Olduğu En İyi 5 Gönderen e-posta Adresi
CommonSecurityLog
| where TimeGenerated <= ago(0m)
| where DeviceVendor == "Forcepoint CSG"
| where DeviceProduct == "Email"
| where DeviceCustomFloatingPoint1 > 10.0
| summarize Count=count() by SourceUserName
| top 5 by Count
| render barchart
Satıcı yükleme yönergeleri
- Linux Syslog aracısı yapılandırması
Bu tümleştirme, Linux Syslog aracısının 514 TCP numaralı bağlantı noktasındaki Forcepoint Cloud Security Gateway Web/E-posta günlüklerinizi Ortak Olay Biçimi (CEF) olarak toplamasını ve bunları Microsoft Sentinel'e iletmesini gerektirir.
Data Bağlan or Syslog Aracısı Yükleme Komutunuz:
sudo wget -O cef_installer.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/CEF/cef_installer.py&&sudo python cef_installer.py {0} {1}
- Uygulama seçenekleri
Tümleştirme iki uygulama seçeneğiyle kullanılabilir hale getirilir.
2.1 Docker Uygulaması
Tümleştirme bileşeninin gerekli tüm bağımlılıklarla zaten yüklü olduğu docker görüntülerinden yararlanır.
Aşağıdaki Bağlantı verilen Tümleştirme Kılavuzu'nda sağlanan yönergeleri izleyin.
2.2 Geleneksel Uygulama
Tümleştirme bileşeninin temiz bir Linux makinesi içinde el ile dağıt olmasını gerektirir.
Aşağıdaki Bağlantı verilen Tümleştirme Kılavuzu'nda sağlanan yönergeleri izleyin.
- Bağlantıyı doğrulama
Bağlantınızı doğrulamak için yönergeleri izleyin:
Günlüklerin CommonSecurityLog şeması kullanılarak alınılıp alınmadığını denetlemek için Log Analytics'i açın.
Bağlantının çalışma alanınıza veri akışı gerçekleştirmesi yaklaşık 20 dakika sürebilir.
Günlükler alınmazsa aşağıdaki bağlantı doğrulama betiğini çalıştırın:
- Aşağıdaki komutu kullanarak makinenizde Python olduğundan emin olun: python -version
- Makinenizde yükseltilmiş izinlere (sudo) sahip olmanız gerekir
Bağlantınızı doğrulamak için aşağıdaki komutu çalıştırın:
sudo wget -O cef_troubleshoot.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/CEF/cef_troubleshoot.py&&sudo python cef_troubleshoot.py {0}
- Makinenizin güvenliğini sağlama
Makinenin güvenliğini kuruluşunuzun güvenlik ilkesine göre yapılandırdığından emin olun
Sonraki adımlar
Daha fazla bilgi için Azure Market ilgili çözüme gidin.