[Preterido] Conector Sophos XG Firewall para Microsoft Sentinel

  • Artigo

Importante

A coleta de logs de muitos dispositivos e dispositivos agora é suportada pelo Common Event Format (CEF) via AMA, Syslog via AMA ou Custom Logs via conector de dados AMA no Microsoft Sentinel. Para obter mais informações, veja Localizar o conector de dados do Microsoft Sentinel.

O Sophos XG Firewall permite que você conecte facilmente seus logs do Sophos XG Firewall ao Microsoft Sentinel, para visualizar painéis, criar alertas personalizados e melhorar as investigações. A integração do Sophos XG Firewall com o Microsoft Sentinel fornece mais visibilidade do tráfego de firewall da sua organização e melhorará os recursos de monitoramento de segurança.

Trata-se de conteúdo gerado automaticamente. Para alterações, entre em contato com o provedor da solução.

Atributos do conector

Atributo do conector Description
Tabela(s) do Log Analytics Syslog (SophosXGFirewall)
Suporte a regras de coleta de dados Transformar DCR no espaço de trabalho
Apoiado por Corporação Microsoft

Exemplos de consulta

Top 10 IPs de origem negados

SophosXGFirewall 

| where Log_Type == "Firewall" and Status == "Deny" 

| summarize count() by Src_IP 

| top 10 by count_

Top 10 IPs de destino negados

SophosXGFirewall 

| where Log_Type == "Firewall" and Status == "Deny" 

| summarize count() by Dst_IP 

| top 10 by count_

Pré-requisitos

Para integrar com o Sophos XG Firewall [Preterido], certifique-se de:

  • Sophos XG Firewall: deve ser configurado para exportar logs via Syslog

Instruções de instalação do fornecedor

Nota

Esse conector de dados depende de um analisador baseado em uma função Kusto para funcionar conforme o esperado, que é implantado como parte da solução. Para visualizar o código da função no Log Analytics, abra a folha Log Analytics/Microsoft Sentinel Logs, clique em Funções e procure o alias Sophos XG Firewall e carregue o código da função ou clique aqui, na segunda linha da consulta, insira o(s) nome(s) do(s) seu(s) dispositivo(s) Sophos XG Firewall e quaisquer outros identificadores exclusivos para o fluxo de log. A função geralmente leva de 10 a 15 minutos para ser ativada após a instalação/atualização da solução.

  1. Instalar e integrar o agente para Linux

Normalmente, você deve instalar o agente em um computador diferente daquele em que os logs são gerados.

Os logs do Syslog são coletados somente de agentes Linux .

  1. Configurar os logs a serem coletados

Configure as instalações que deseja coletar e suas gravidades.

  1. Em Configurações avançadas do espaço de trabalho Configuração, selecione Dados e, em seguida, Syslog.

  2. Selecione Aplicar configuração abaixo às minhas máquinas e selecione as instalações e gravidades.

  3. Clique em Guardar.

  4. Configurar e conectar o Sophos XG Firewall

Siga estas instruções para ativar o streaming syslog. Use o endereço IP ou nome de host para o dispositivo Linux com o agente Linux instalado como o endereço IP de destino.

Próximos passos

Para obter mais informações, vá para a solução relacionada no Azure Marketplace.