你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
适用于 Microsoft Sentinel 的 Barracuda CloudGen 防火墙连接器
Barracuda CloudGen 防火墙(CGFW)连接器允许你轻松将 Barracuda CGFW 日志与 Microsoft Sentinel 连接,以查看仪表板、创建自定义警报和改进调查。 这样,用户就可以更深入地了解组织的网络并改善安全操作功能。
连接器属性
连接器属性 | 说明 |
---|---|
Log Analytics 表 | Syslog (Barracuda) |
数据收集规则支持 | 工作区转换 DCR |
支持的服务 | 社区 |
查询示例
所有日志
CGFWFirewallActivity
| sort by TimeGenerated
前 10 名活跃用户(过去 24 小时)
CGFWFirewallActivity
| extend User = coalesce(User, "Unauthenticated")
| summarize count() by User
| take 10
前 10 个应用程序(过去 24 小时)
CGFWFirewallActivity
| where isnotempty(Application)
| summarize count() by Application
| take 10
先决条件
若要与 Barracuda CloudGen 防火墙集成,请确保具备:
- Barracuda CloudGen 防火墙:必须配置为通过 Syslog 导出日志
供应商安装说明
注意:此数据连接器依赖于基于 Kusto 函数的分析程序才能按预期工作,该函数作为解决方案的一部分进行部署。 若要查看 Log Analytics 中的函数代码,请打开 Log Analytics/Microsoft Sentinel 日志边栏选项卡,单击 Functions 并搜索别名 CGFWFirewallActivity 并加载函数代码或单击此处。 安装/更新解决方案后,函数通常需要 10-15 分钟才能激活。
安装并载入适用于 Linux 的代理
通常,应将代理安装在与生成日志的计算机不同的计算机上。
仅从 Linux 代理收集 Syslog 日志。
配置要收集的日志
配置要收集的设施及其严重性。
- 在工作区高级设置“配置”下,选择“数据”,然后选择“Syslog”。
- 选择“将以下配置应用到我的计算机”,然后选择设施和严重性。
- 单击“ 保存”。
配置和连接 Barracuda CloudGen 防火墙
按照说明 配置 syslog 流式处理。 将 Linux 计算机的 IP 地址或主机名与为目标 IP 地址安装的 Microsoft Sentinel 代理配合使用。
后续步骤
有关详细信息,请转到 Azure 市场中的相关解决方案。