適用於 Microsoft Sentinel 的 Azure CloudNGFW By Palo Alto Networks 連接器
Palo Alto Networks 提供的雲端新一代防火牆 - Azure 原生 ISV 服務 - 是 Palo Alto Networks Next-Generation Firewall (NGFW) 作為 Azure 上的雲端原生服務。 您可以在 Azure Marketplace 中探索雲端 NGFW,並在 Azure 虛擬網絡 (VNet) 中取用它。 使用 Cloud NGFW,您可以存取核心 NGFW 功能,例如應用程式識別碼、URL 篩選型技術。 它透過雲端提供的安全性服務和威脅防護簽章來提供威脅防護和偵測。 連接器可讓您輕鬆地將雲端 NGFW 記錄與 Microsoft Sentinel 連線,以檢視儀錶板、建立自定義警示,以及改善調查。 這可讓您深入了解組織的網路,並改善安全性作業功能。 如需詳細資訊,請參閱適用於 Azure 的 雲端 NGFW 檔。
這是自動產生的內容。 如需變更,請連絡解決方案提供者。
連接器屬性
| 連接器屬性 | 描述 |
|---|---|
| 記錄分析資料表 | fluentbit_CL |
| 資料收集規則支援 | 目前不支援 |
| 支援者: | Palo Alto Networks |
查詢範例
已連線的雲端 NGFW 資源清單
fluentbit_CL
| distinct FirewallName_s
雲端 NGFW 資源的連線狀態
fluentbit_CL
| extend TimeGenerated = todatetime(TimeGenerated)
| summarize LastLogReceived = max(TimeGenerated) by FirewallName_s
| extend Status = iff(now() - LastLogReceived > 24h, "Disconnected", "Connected")
| project FirewallName_s, LastLogReceived, Status
| order by Status desc, LastLogReceived desc
已接收的資料總計(MB)
fluentbit_CL
| extend bytes_received = toint(parse_json(Message).bytes_recv)
| summarize TotalBytesReceived = sum(bytes_received)
| extend TotalMBReceived = round(TotalBytesReceived / 1048576.0, 2)
| project TotalMBReceived
前 5 個應用程式
fluentbit_CL
| extend app = tostring(parse_json(Message).app)
| summarize Count = count() by app
| top 5 by Count desc
| project app, Count
前 5 個類別
fluentbit_CL
| extend category = tostring(parse_json(Message).category)
| summarize Count = count() by category
| top 5 by Count desc
| project category, Count
前 5 個規則
fluentbit_CL
| summarize Rule=count() by tostring(parse_json(Message).rule)
| top 5 by Rule desc
前 5 個來源 IP
fluentbit_CL
| summarize SourceIP=count() by tostring(parse_json(Message).src_ip)
| top 5 by SourceIP desc
前 5 個目的地 IP
fluentbit_CL
| summarize DestinationIP=count() by tostring(parse_json(Message).dst_ip)
| top 5 by DestinationIP desc
廠商安裝指示
將 Palo Alto Networks 的 Cloud NGFW 連線至 Microsoft Sentinel
在 Palo Alto Networks 的所有雲端 NGFW 上啟用記錄設定。
在您的雲端 NGFW 資源內:
- 從首頁流覽至 [記錄設定 ]。
- 確定已核取 [ 啟用記錄設定 ] 複選框。
- 從 [ 記錄設定] 下拉式清單中,選擇所需的Log Analytics工作區。
- 確認您的選取專案和組態。
- 按兩下 [ 儲存 ] 以套用設定。
下一步
如需詳細資訊,請移至 Azure Marketplace 中的相關解決方案 (英文)。