[已弃用]通过用于 Microsoft Sentinel 的 AMA 连接器强制点 CSG
重要
现在,Microsoft Sentinel 中的“通过 AMA 的通用事件格式 (CEF)”、“通过 AMA 的 Syslog”或“通过 AMA 的自定义日志”数据连接器支持从许多设备收集日志。 如需详细信息,请参阅查找 Microsoft Sentinel 数据连接器。
Forcepoint Cloud Security Gateway 是一种融合的云安全服务,为用户和数据提供可见性、控制和威胁防护,无论用户和数据在哪里。 有关详细信息,请访问:https://www.forcepoint.com/product/cloud-security-gateway
这是自动生成的内容。 有关更改,请联系解决方案提供商。
连接器属性
| 连接器属性 | 说明 |
|---|---|
| Log Analytics 表 | CommonSecurityLog (Forcepoint CSG) CommonSecurityLog (Forcepoint CSG) |
| 数据收集规则支持 | 工作区转换 DCR |
| 支持的服务 | 社区 |
查询示例
日志严重性级别等于 6 (中等)的前 5 个 Web 请求域
CommonSecurityLog
| where TimeGenerated <= ago(0m)
| where DeviceVendor == "Forcepoint CSG"
| where DeviceProduct == "Web"
| where LogSeverity == 6
| where DeviceCustomString2 != ""
| summarize Count=count() by DeviceCustomString2
| top 5 by Count
| render piechart
“操作”等于“已阻止”的前 5 个 Web 用户
CommonSecurityLog
| where TimeGenerated <= ago(0m)
| where DeviceVendor == "Forcepoint CSG"
| where DeviceProduct == "Web"
| where Activity == "Blocked"
| where SourceUserID != "Not available"
| summarize Count=count() by SourceUserID
| top 5 by Count
| render piechart
垃圾邮件分数高于 10.0 的前 5 个发件人电子邮件地址
CommonSecurityLog
| where TimeGenerated <= ago(0m)
| where DeviceVendor == "Forcepoint CSG"
| where DeviceProduct == "Email"
| where DeviceCustomFloatingPoint1 > 10.0
| summarize Count=count() by SourceUserName
| top 5 by Count
| render barchart
先决条件
若要通过 AMA 与 [已弃用] Forcepoint CSG 集成,请确保具备:
- ****:要从非 Azure VM 收集数据,必须安装并启用 Azure Arc。 了解详细信息
- ****:必须安装 Common Event Format (CEF) via AMA 和 Syslog via AMA 连接器了解详细信息
供应商安装说明
- 保护计算机
请确保根据组织的安全策略配置计算机的安全性
后续步骤
有关详细信息,请转到 Azure 市场中的相关解决方案。