[Не рекомендуется] Соединитель Брандмауэра Barracuda CloudGen для Microsoft Sentinel

  • Статья

Внимание

Сбор журналов из многих устройств и устройств теперь поддерживается общим форматом событий (CEF) через AMA, Syslog через AMA или пользовательские журналы через соединитель данных AMA в Microsoft Sentinel. Дополнительные сведения см. в статье Поиск нужных соединителей данных Microsoft Sentinel.

Соединитель Barracuda CloudGen Firewall (CGFW) позволяет легко подключать журналы Barracuda CGFW к Microsoft Sentinel, просматривать панели мониторинга, создавать пользовательские оповещения и улучшать исследование. В результате вы будете получать больше полезных сведений о сети организации и расширите свои возможности для обеспечения безопасности.

Это автоматически сформированное содержимое. Для изменений обратитесь к поставщику решений.

Атрибуты соединителя

Атрибут соединителя Description
Таблицы Log Analytics Syslog (Barracuda)
Поддержка правил сбора данных Преобразование DCR рабочей области
Поддерживается Сообщество

Примеры запросов

Все журналы

CGFWFirewallActivity
         
| sort by TimeGenerated

Первые 10 активных пользователей (последние 24 часа)

CGFWFirewallActivity
         
| extend User = coalesce(User, "Unauthenticated") 
                 
| summarize count() by User
                 
| take 10

Первые 10 приложений (последние 24 часа)

CGFWFirewallActivity
         
| where isnotempty(Application)
                 
| summarize count() by Application
                 
| take 10

Необходимые компоненты

Чтобы интегрироваться с [устаревшим] Barracuda CloudGen Firewall, убедитесь, что у вас есть:

  • Брандмауэр Barracuda CloudGen: необходимо настроить для экспорта журналов с помощью Системного журнала

Инструкции по установке поставщика

ПРИМЕЧАНИЕ. Этот соединитель данных зависит от средства синтаксического анализа на основе функции Kusto, которая должна работать должным образом, которая развертывается в рамках решения. Чтобы просмотреть код функции в Log Analytics, откройте колонку Log Analytics/Microsoft Sentinel Logs, щелкните "Функции" и найдите псевдоним CGFWFirewallActivity и загрузите код функции или щелкните здесь. Функция обычно занимает 10–15 минут, чтобы активировать после установки или обновления решения.

  1. Установка и подключение агента для Linux

Обычно агент следует устанавливать не на том же компьютере, где создаются журналы.

Журналы системного журнала собираются только из агентов Linux .

  1. Настройка журналов для сбора

Настройте объекты, которые необходимо собрать, и соответствующие уровни серьезности.

  1. В разделе "Конфигурация дополнительных параметров рабочей области" выберите "Данные" и "Системный журнал".
  2. Выберите " Применить" на моих компьютерах и выберите объекты и серьезность.
  3. Нажмите кнопку Сохранить.

Настройка и подключение брандмауэра Barracuda CloudGen

Следуйте инструкциям по настройке потоковой передачи системного журнала. Используйте IP-адрес или имя узла для компьютера Linux с агентом Microsoft Sentinel, установленным для целевого IP-адреса.

Следующие шаги

Дополнительные сведения см. в связанном решении в Azure Marketplace.