[Önerilen] Microsoft Sentinel için AMA bağlayıcısı aracılığıyla Forcepoint CASB

  • Makale

Forcepoint CASB (Bulut Erişim Güvenlik Aracısı) Bağlan veya CASB günlüklerini ve olaylarını microsoft Sentinel'e gerçek zamanlı olarak dışarı aktarmanızı sağlar. Bu, konumlar ve bulut uygulamaları genelindeki kullanıcı etkinliklerinin görünürlüğünü zenginleştirir, Azure iş yüklerinden ve diğer akışlardan gelen verilerle daha fazla bağıntı sağlar ve Microsoft Sentinel içindeki Çalışma Kitapları ile izleme özelliğini geliştirir.

Bağlan or öznitelikleri

Bağlan or özniteliği Açıklama
Log Analytics tabloları CommonSecurityLog (ForcepointCASB)
Veri toplama kuralları desteği Azure İzleyici Aracısı DCR
Destekleyen: Community

Sorgu örnekleri

En fazla günlük sayısına sahip ilk 5 kullanıcı

CommonSecurityLog 

| summarize Count = count() by DestinationUserName

| top 5 by DestinationUserName

| render barchart

**Başarısız Deneme Sayısına Göre İlk 5 Kullanıcı **

CommonSecurityLog 

| extend outcome = coalesce(column_ifexists("EventOutcome", ""), tostring(split(split(AdditionalExtensions, ";", 2)[0], "=", 1)[0]), "")

| extend reason = coalesce(column_ifexists("Reason", ""), tostring(split(split(AdditionalExtensions, ";", 3)[0], "=", 1)[0]), "")

| where outcome =="Failure"

| summarize Count= count() by DestinationUserName

| render barchart

Önkoşullar

[Önerilen] Forcepoint CASB ile AMA aracılığıyla tümleştirmek için aşağıdakilere sahip olduğunuzdan emin olun:

  • : Azure olmayan VM'lerden veri toplamak için Azure Arc'ın yüklü ve etkin olması gerekir. Daha fazla bilgi edinin
  • : AMA aracılığıyla Ortak Olay Biçimi (CEF) ve AMA veri bağlayıcıları aracılığıyla Syslog yüklenmelidir Daha fazla bilgi edinin

Satıcı yükleme yönergeleri

Ortak Olay Biçimi (CEF) Syslog iletilerinizi toplamak ve Bunları Microsoft Sentinel'e iletmek için Linux aracısını yükleyin ve yapılandırın.

Tüm bölgelerdeki verilerin seçili çalışma alanında depolanacağına dikkat edin

  1. Makinenizin güvenliğini sağlama

Makinenin güvenliğini kuruluşunuzun güvenlik ilkesine göre yapılandırdığından emin olun

Daha fazla bilgi edinin >

  1. Forcepoint tümleştirmesi yükleme kılavuzu

Bu Forcepoint ürün tümleştirmesinin yüklemesini tamamlamak için aşağıdaki bağlantı verilen kılavuzu izleyin.

Yükleme Kılavuzu >

Sonraki adımlar

Daha fazla bilgi için Azure Market ilgili çözüme gidin.