[Не рекомендуется] Forcepoint CASB через соединитель AMA для Microsoft Sentinel
Внимание
Сбор журналов из многих устройств и устройств теперь поддерживается общим форматом событий (CEF) через AMA, Syslog через AMA или пользовательские журналы через соединитель данных AMA в Microsoft Sentinel. Дополнительные сведения см. в статье Поиск нужных соединителей данных Microsoft Sentinel.
Соединитель Forcepoint CASB (Cloud Access Security Broker) позволяет автоматически экспортировать журналы и события CASB в Microsoft Sentinel в режиме реального времени. Это расширяет видимость действий пользователей в разных расположениях и облачных приложениях, обеспечивает дополнительную корреляцию с данными из рабочих нагрузок Azure и других веб-каналов и улучшает возможности мониторинга с помощью книг в Microsoft Sentinel.
Это автоматически сформированное содержимое. Для изменений обратитесь к поставщику решений.
Атрибуты соединителя
| Атрибут соединителя | Description |
|---|---|
| Таблицы Log Analytics | CommonSecurityLog (ForcepointCASB) |
| Поддержка правил сбора данных | Преобразование DCR рабочей области |
| Поддерживается | Сообщество |
Примеры запросов
Первые 5 пользователей с наибольшим числом журналов
CommonSecurityLog
| summarize Count = count() by DestinationUserName
| top 5 by DestinationUserName
| render barchart
**Топ-5 пользователей по количеству неудачных попыток **
CommonSecurityLog
| extend outcome = coalesce(column_ifexists("EventOutcome", ""), tostring(split(split(AdditionalExtensions, ";", 2)[0], "=", 1)[0]), "")
| extend reason = coalesce(column_ifexists("Reason", ""), tostring(split(split(AdditionalExtensions, ";", 3)[0], "=", 1)[0]), "")
| where outcome =="Failure"
| summarize Count= count() by DestinationUserName
| render barchart
Необходимые компоненты
Чтобы интегрироваться с [не рекомендуется] Forcepoint CASB через AMA убедитесь, что у вас есть:
- : для сбора данных из виртуальных машин, отличных от Azure, они должны быть установлены и включены в Azure Arc. Подробнее
- : общий формат событий (CEF) через AMA и Syslog через соединители данных AMA необходимо установить дополнительные сведения
Инструкции по установке поставщика
Установите и настройте агент Linux, чтобы собирать сообщения системного журнала общего формата событий (CEF) и пересылать их в Microsoft Sentinel.
Обратите внимание, что в выбранной рабочей области будут храниться данные из всех регионов
- Защита компьютера
Обязательно настройте безопасность компьютера в соответствии с политикой безопасности вашей организации.
- Руководство по установке интеграции Forcepoint
Чтобы завершить установку этой интеграции продуктов Forcepoint, следуйте приведенным ниже инструкциям.
Следующие шаги
Дополнительные сведения см. в связанном решении в Azure Marketplace.