[En desuso] Forcepoint CASB a través del conector del agente heredado para Microsoft Sentinel

El conector Forcepoint CASB (agente de seguridad de acceso a la nube) permite exportar automáticamente eventos y registros de CASB a Microsoft Sentinel en tiempo real. Esto enriquece la visibilidad de las actividades de los usuarios en todas las ubicaciones y aplicaciones en la nube, permite una mayor correlación con los datos de las cargas de trabajo de Azure y otras fuentes, y mejora la capacidad de supervisión con los libros en Microsoft Sentinel.

Atributos del conector

Ejemplos de consultas

Principales 5 usuarios con mayor número de registros

CommonSecurityLog 

| summarize Count = count() by DestinationUserName

| top 5 by DestinationUserName

| render barchart

**Principales 5 usuarios según el número de intentos erróneos **

CommonSecurityLog 

| extend outcome = coalesce(column_ifexists("EventOutcome", ""), tostring(split(split(AdditionalExtensions, ";", 2)[0], "=", 1)[0]), "")

| extend reason = coalesce(column_ifexists("Reason", ""), tostring(split(split(AdditionalExtensions, ";", 3)[0], "=", 1)[0]), "")

| where outcome =="Failure"

| summarize Count= count() by DestinationUserName

| render barchart

Instrucciones de instalación del proveedor

1. Configuración del agente de Syslog para Linux

Instale y configure el agente de Linux para recopilar los mensajes de Syslog del formato de evento común (CEF) y reenviarlos a Microsoft Sentinel.

Tenga en cuenta que los datos de todas las regiones se almacenarán en el área de trabajo seleccionada.

1.1. Selección o creación de una máquina Linux

Seleccione o cree una máquina Linux que Microsoft Sentinel usará como proxy entre la solución de seguridad y Microsoft Sentinel. Dicha máquina puede encontrarse en su entorno local, en Azure o en otras nubes.

1.2. Instalación del recopilador de CEF en la máquina Linux

Instale Microsoft Monitoring Agent en la máquina Linux y configure la máquina para que escuche en el puerto necesario y reenvíe los mensajes al área de trabajo de Microsoft Sentinel. El recopilador CEF recopila mensajes CEF en el puerto TCP 514.

1. Asegúrese de tener Python en la máquina con el siguiente comando: python -version.

2. Debe tener permisos elevados (sudo) en la máquina.

Ejecute el comando siguiente para instalar y aplicar el recopilador de CEF:

sudo wget -O cef_installer.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/CEF/cef_installer.py&&sudo python cef_installer.py {0} {1}

2. Reenviar los registros de Common Event Format (CEF) al agente de Syslog

Establezca la solución de seguridad para enviar los mensajes de Syslog en formato CEF a la máquina proxy. Asegúrese de enviar los registros al puerto TCP 514 en la dirección IP de la máquina.

3. Validación de la conexión

Siga las instrucciones para validar la conectividad:

Abra Log Analytics para comprobar si los registros se reciben con el esquema CommonSecurityLog.

La conexión tarda unos 20 minutos en empezar a transmitir datos al área de trabajo.

Si no se reciben los registros, ejecute el siguiente script de validación de conectividad:

1. Asegúrese de tener Python en la máquina con el siguiente comando: python -version

2. Debe tener permisos elevados (sudo) en la máquina.

Ejecute el comando siguiente para validar la conectividad:

sudo wget -O cef_troubleshoot.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/CEF/cef_troubleshoot.py&&sudo python cef_troubleshoot.py {0}

4. Proteja la máquina

Asegúrese de configurar la seguridad de la máquina de acuerdo con la directiva de seguridad de su organización.

Más información>

5. Guía de instalación de la integración de Forcepoint

Para completar la instalación de esta integración de producto Forcepoint, siga la guía vinculada a continuación.

Guía de instalación>

Pasos siguientes

Para obtener más información, vaya a la solución relacionada en Azure Marketplace.