Microsoft Sentinel için WatchGuard Firebox bağlayıcısı

  • Makale

WatchGuard Firebox (https://www.watchguard.com/wgrd-products/firewall-appliances ve https://www.watchguard.com/wgrd-products/cloud-and-virtual-firewalls), güvenlik ürünleri/güvenlik duvarı gereçleridir. Watchguard Firebox, Watchguard Firebox toplayıcı aracısına syslog gönderir. Aracı daha sonra iletiyi çalışma alanına gönderir.

Bağlayıcı öznitelikleri

Bağlayıcı özniteliği Description
Log Analytics tabloları Syslog (WatchGuardFirebox)
Veri toplama kuralları desteği Çalışma alanı dönüştürme DCR
Destekleyen: WatchGuard

Sorgu örnekleri

Son 24 saat içinde en iyi 10 Yangın Kutusu

WatchGuardFirebox

| where TimeGenerated >= ago(24h)

| summarize count() by HostName

| top 10 by count_ desc

WatchGuard-XTM adlı Firebox son 24 saatte ilk 10 ileti

WatchGuardFirebox

| where HostName contains 'WatchGuard-XTM'

| where TimeGenerated >= ago(24h)

| summarize count() by MessageId

| top 10 by count_ desc

Firebox Named WatchGuard-XTM son 24 saatte ilk 10 uygulama

WatchGuardFirebox

| where HostName contains 'WatchGuard-XTM'

| where TimeGenerated >= ago(24h)

| summarize count() by Application

| top 10 by count_ desc

Satıcı yükleme yönergeleri

NOT: Bu veri bağlayıcısı, çözümün bir parçası olarak dağıtılan kusto işlevini temel alan ayrıştırıcının beklendiği gibi çalışmasına bağlıdır. İşlev kodunu Log Analytics'te görüntülemek için Log Analytics/Microsoft Sentinel Günlükleri dikey penceresini açın, İşlevler'e tıklayın ve WatchGuardFirebox diğer adını arayın ve işlev kodunu yükleyin veya sorgunun ikinci satırına tıklayın , WatchGuard Firebox cihazlarınızın ana bilgisayar adlarını ve günlük akışının diğer benzersiz tanımlayıcılarını girin. Çözümün yüklenmesi/güncelleştirildikten sonra işlevin etkinleştirilmesi genellikle 10-15 dakika sürer.

  1. Aracıyı Linux için yükleme ve ekleme

Genellikle aracıyı günlüklerin oluşturulduğu bilgisayardan farklı bir bilgisayara yüklemeniz gerekir.

Syslog günlükleri yalnızca Linux aracılarından toplanır.

  1. Toplanacak günlükleri yapılandırma

Toplamak istediğiniz tesisleri ve önem derecelerini yapılandırın.

  1. Çalışma alanı gelişmiş ayarları Yapılandırma'nın altında Veri'yi ve ardından Syslog'u seçin.
  2. Aşağıdaki yapılandırmayı makinelerime uygula'yı seçin ve tesisleri ve önem derecelerini seçin.
  3. Kaydet’e tıklayın.

Sonraki adımlar

Daha fazla bilgi için Azure Market ilgili çözüme gidin.