[Obsoleto] Conector do Firewall da SonicWall para Microsoft Sentinel

O CEF (Formato Comum de Evento) é um formato padrão do setor baseado em mensagens do Syslog, usado pelo SonicWall para permitir a interoperabilidade de eventos entre diferentes plataformas. Ao conectar os logs do CEF ao Microsoft Sentinel, você pode aproveitar os recursos de pesquisa e correlação, alerta e enriquecimento de inteligência contra ameaças para cada log.

Esse é conteúdo gerado automaticamente. Para alterações, entre em contato com o provedor da solução.

Atributos do conector

Exemplos de consulta

Todos os logs

CommonSecurityLog
| where DeviceVendor == "SonicWall"
| sort by TimeGenerated desc

Resumir por IP e porta de destino

CommonSecurityLog
| where DeviceVendor == "SonicWall"
| summarize count() by DestinationIP, DestinationPort, TimeGenerated
| sort by TimeGenerated desc

Mostrar todo o tráfego removido do SonicWall Firewall

CommonSecurityLog
| where DeviceVendor == "SonicWall"
| where AdditionalExtensions contains "fw_action='drop'"

Instruções de instalação do fornecedor

1. Configuração do agente de Syslog do Linux

Instale e configure o agente do Linux para coletar suas mensagens do Syslog no Formato Comum de Evento (CEF) e encaminhá-las para o Microsoft Sentinel.

Observe que os dados de todas as regiões serão armazenados no workspace selecionado 1.1 Selecionar ou criar um computador do Linux.

Selecione ou crie um computador Linux que o Microsoft Sentinel usará como proxy entre a sua solução de segurança e o Microsoft Sentinel. Este computador pode estar no seu ambiente local, no Azure ou em outras nuvens.

1.2 Instalar o coletor CEF no computador Linux

Instale o Microsoft Monitoring Agent no seu computador Linux e configure o computador para escutar na porta necessária e encaminhar mensagens para o espaço de trabalho do Microsoft Sentinel. O coletor CEF coleta mensagens CEF na porta 514 TCP.

1. Certifique-se de que você tem o Python no seu computador usando o seguinte comando: python -version.

2. Você deve ter permissões elevadas (sudo) no computador. Execute o seguinte comando para instalar e aplicar o coletor CEF:

   sudo wget -O cef_installer.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/CEF/cef_installer.py&&sudo python cef_installer.py [Workspace ID] [Workspace Primary Key]

3. Encaminhar logs CEF (Formato Comum de Evento) do SonicWall Firewall para o agente do Syslog

   Defina o SonicWall Firewall para enviar mensagens do Syslog no formato CEF ao computador proxy. Envie os logs para a porta TCP 514 no endereço IP do computador.

   Siga as instruções. Depois, selecione o uso local 4 como a instalação. Selecione ArcSight como o formato do Syslog.

4. Validar conexão

Siga as instruções para validar sua conectividade:

Abra o Log Analytics para verificar se os logs são recebidos usando o esquema CommonSecurityLog.

Pode levar cerca de 20 minutos até que a conexão transmita dados para o seu espaço de trabalho. Se os logs não forem recebidos, execute o seguinte script de validação de conectividade:

1. Certifique-se de que você tem o Python instalado no seu computador usando o seguinte comando: python -version

2. Você deve ter permissões elevadas (sudo) em seu computador Execute o seguinte comando para validar a sua conectividade:

   sudo wget -O cef_troubleshoot.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/CEF/cef_troubleshoot.py&&sudo python cef_troubleshoot.py [Workspace ID]

3. Proteja seu computador

Configure a segurança do computador de acordo com a política de segurança da organização.

Saiba mais >

Próximas etapas

Para obter mais informações, acesse a solução relacionada no Azure Marketplace.