[已弃用]用于 Microsoft Sentinel 的 SonicWall 防火墙连接器

重要

现在,Microsoft Sentinel 中的“通过 AMA 的通用事件格式 (CEF)”、“通过 AMA 的 Syslog”或“通过 AMA 的自定义日志”数据连接器支持从许多设备收集日志。 如需详细信息,请参阅查找 Microsoft Sentinel 数据连接器

通用事件格式 (CEF) 是 Syslog 消息之上的行业标准格式,SonicWall 使用它在不同的平台之间实现事件互操作性。 通过将 Citrix WAF CEF 日志连接到 Microsoft Sentinel,可以针对每个日志使用搜索和关联、警报以及威胁情报扩充功能。

这是自动生成的内容。 有关更改,请联系解决方案提供商。

连接器属性

连接器属性 说明
Log Analytics 表 CommonSecurityLog (SonicWall)
数据收集规则支持 工作区转换 DCR
支持的服务 SonicWall

查询示例

所有日志

CommonSecurityLog
| where DeviceVendor == "SonicWall"
| sort by TimeGenerated desc

按目标 IP 和端口汇总

CommonSecurityLog
| where DeviceVendor == "SonicWall"
| summarize count() by DestinationIP, DestinationPort, TimeGenerated
| sort by TimeGenerated desc

显示 SonicWall 防火墙拦截的所有流量

CommonSecurityLog
| where DeviceVendor == "SonicWall"
| where AdditionalExtensions contains "fw_action='drop'"

供应商安装说明

  1. Linux Syslog 代理配置

安装并配置 Linux 代理,以收集通用事件格式 (CEF) Syslog 消息,并将其转发到 Microsoft Sentinel。

请注意,来自所有区域的数据都将存储在所选工作区中 1.1 选择或创建 Linux 计算机。

选择或创建一个 Linux 计算机,Microsoft Sentinel 将使用该计算机作为安全解决方案和 Microsoft Sentinel 之间的代理。该计算机可以位于本地环境、Azure 或其他云中。

1.2 在 Linux 计算机上安装 CEF 收集器

在 Linux 计算机上安装 Microsoft Monitoring Agent,然后将计算机配置为侦听所需的端口并将消息转发到 Microsoft Sentinel 工作区。 该 CEF 收集器在端口 514 TCP 上收集 CEF 消息。

  1. 使用以下命令确保已在计算机上安装 Python:python -version。

  2. 你必须在计算机上拥有提升的权限 (sudo)。 运行以下命令安装并应用 CEF 收集器:

    sudo wget -O cef_installer.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/CEF/cef_installer.py&&sudo python cef_installer.py [Workspace ID] [Workspace Primary Key]

  3. 将 SonicWall 防火墙通用事件格式 (CEF) 日志转发到 Syslog 代理

    设置 SonicWall 防火墙以将 CEF 格式的 Syslog 消息发送到代理计算机。 请确保将日志发送到计算机 IP 地址上的 514 TCP 端口。

    按照说明操作。 然后,请确保选择“本地使用 4”作为设施。 然后选择“ArcSight”作为 Syslog 格式。

  4. 验证连接

按照说明验证连接性:

打开 Log Analytics,检查是否使用 CommonSecurityLog 架构收到了日志。

连接将数据流式传输到工作区可能大约需要 20 分钟。 如果未收到日志,请运行以下连接验证脚本:

  1. 使用以下命令确保已在计算机上安装 Python:python -version

  2. 你在计算机上必须具有提升的权限 (sudo),运行以下命令来验证连接性:

    sudo wget -O cef_troubleshoot.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/CEF/cef_troubleshoot.py&&sudo python cef_troubleshoot.py [Workspace ID]

  3. 保护计算机

确保根据组织的安全策略配置计算机的安全性。

了解更多>

后续步骤

有关详细信息,请转到 Azure 市场中的相关解决方案