你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

适用于 Microsoft Sentinel 的 Azure CloudNGFW By Palo Alto Networks 连接器

Palo Alto Networks 提供的云下一代防火墙(Azure 本机 ISV 服务)是 Palo Alto Networks 下一代防火墙 (NGFW),作为 Azure 上的云原生服务提供。 可以在 Azure 市场中发现云 NGFW,并在 Azure 虚拟网络 (VNet) 中使用它。 凭借云 NGFW,可以访问核心 NGFW 功能,例如应用 ID、基于 URL 筛选的技术。 它通过云提供的安全服务和威胁防护签名提供威胁防护和检测。 使用连接器,可以将云 NGFW 日志轻松连接到 Microsoft Sentinel,以查看仪表板、创建自定义警报并改进调查。 这样,用户就可以更深入地了解组织的网络并改善安全操作功能。 有关详细信息,请参阅适用于 Azure 的云 NGFW 文档

这是自动生成的内容。 有关更改,请联系解决方案提供商。

连接器属性

连接器属性 说明
Log Analytics 表 fluentbit_CL
数据收集规则支持 目前不支持
支持的服务 Palo Alto Networks

查询示例

已连接的云 NGFW 资源列表

fluentbit_CL

| distinct FirewallName_s

云 NGFW 资源的连接状态

fluentbit_CL

| extend TimeGenerated = todatetime(TimeGenerated)

| summarize LastLogReceived = max(TimeGenerated) by FirewallName_s

| extend Status = iff(now() - LastLogReceived > 24h, "Disconnected", "Connected")

| project FirewallName_s, LastLogReceived, Status

| order by Status desc, LastLogReceived desc

接收的数据总数 (MB)

fluentbit_CL

| extend bytes_received = toint(parse_json(Message).bytes_recv)

| summarize TotalBytesReceived = sum(bytes_received)

| extend TotalMBReceived = round(TotalBytesReceived / 1048576.0, 2)

| project TotalMBReceived

前 5 个应用

fluentbit_CL

| extend app = tostring(parse_json(Message).app)

| summarize Count = count() by app

| top 5 by Count desc

| project app, Count

前 5 个类别

fluentbit_CL

| extend category = tostring(parse_json(Message).category)

| summarize Count = count() by category

| top 5 by Count desc

| project category, Count

前 5 条规则

fluentbit_CL

| summarize Rule=count() by tostring(parse_json(Message).rule)

| top 5 by Rule desc

前 5 个源 IP

fluentbit_CL

| summarize SourceIP=count() by tostring(parse_json(Message).src_ip)

| top 5 by SourceIP desc

前 5 个目标 IP

fluentbit_CL

| summarize DestinationIP=count() by tostring(parse_json(Message).dst_ip)

| top 5 by DestinationIP desc

供应商安装说明

将 Palo Alto Networks 提供的云 NGFW 连接到 Microsoft Sentinel

通过 Palo Alto Networks 在所有云 NGFW 上启用日志设置。

在云 NGFW 资源中:

  1. 从主页导航到“日志设置”
  2. 确保选中“启用日志设置”复选框。
  3. 从“日志设置”下拉列表中,选择所需的 Log Analytics 工作区。
  4. 确认选择和配置。
  5. 单击“保存”以应用设置。

后续步骤

有关详细信息,请转到 Azure 市场中的相关解决方案