Соединитель Palo Alto Networks для Microsoft Sentinel для Azure CloudNGFW By Palo Alto Networks
Брандмауэр следующего поколения облака от Palo Alto Networks — это служба azure Native ISV — это брандмауэр следующего поколения Palo Alto Networks (NGFW), предоставляемый в качестве облачной службы в Azure. Вы можете обнаружить Cloud NGFW в Azure Marketplace и использовать его в виртуальная сеть Azure (виртуальная сеть). С помощью Cloud NGFW вы можете получить доступ к основным возможностям NGFW, таким как идентификатор приложения, технологии фильтрации URL-адресов. Она обеспечивает защиту от угроз и обнаружение с помощью облачных служб безопасности и подписей защиты от угроз. Соединитель позволяет легко подключать журналы Cloud NGFW к Microsoft Sentinel, просматривать панели мониторинга, создавать пользовательские оповещения и улучшать исследование. В результате вы будете получать больше полезных сведений о сети организации и расширите свои возможности для обеспечения безопасности. Дополнительные сведения см. в документации по Cloud NGFW для Azure.
Это автоматически сформированное содержимое. Для изменений обратитесь к поставщику решений.
Атрибуты соединителя
| Атрибут соединителя | Description |
|---|---|
| Таблицы Log Analytics | fluentbit_CL |
| Поддержка правил сбора данных | В настоящий момент не поддерживается |
| Поддерживается | Palo Alto Networks |
Примеры запросов
Список подключенных ресурсов Cloud NGFW
fluentbit_CL
| distinct FirewallName_s
Состояние подключения ресурсов Cloud NGFW
fluentbit_CL
| extend TimeGenerated = todatetime(TimeGenerated)
| summarize LastLogReceived = max(TimeGenerated) by FirewallName_s
| extend Status = iff(now() - LastLogReceived > 24h, "Disconnected", "Connected")
| project FirewallName_s, LastLogReceived, Status
| order by Status desc, LastLogReceived desc
Общий объем полученных данных (МБ)
fluentbit_CL
| extend bytes_received = toint(parse_json(Message).bytes_recv)
| summarize TotalBytesReceived = sum(bytes_received)
| extend TotalMBReceived = round(TotalBytesReceived / 1048576.0, 2)
| project TotalMBReceived
Основные 5 приложений
fluentbit_CL
| extend app = tostring(parse_json(Message).app)
| summarize Count = count() by app
| top 5 by Count desc
| project app, Count
Топ-5 категорий
fluentbit_CL
| extend category = tostring(parse_json(Message).category)
| summarize Count = count() by category
| top 5 by Count desc
| project category, Count
Первые 5 правил
fluentbit_CL
| summarize Rule=count() by tostring(parse_json(Message).rule)
| top 5 by Rule desc
Первые 5 исходных IP-адресов
fluentbit_CL
| summarize SourceIP=count() by tostring(parse_json(Message).src_ip)
| top 5 by SourceIP desc
Первые 5 IP-адресов назначения
fluentbit_CL
| summarize DestinationIP=count() by tostring(parse_json(Message).dst_ip)
| top 5 by DestinationIP desc
Инструкции по установке поставщика
Подключение Cloud NGFW от Palo Alto Networks к Microsoft Sentinel
Включите параметры журнала во всех облачных NGFWs by Palo Alto Networks.
В ресурсе Cloud NGFW:
- Перейдите к параметрам журнала на домашней странице.
- Убедитесь, что установлен флажок "Включить параметры журнала".
- В раскрывающемся списке "Параметры журнала" выберите нужную рабочую область Log Analytics.
- Подтвердите выбранные параметры и конфигурации.
- Нажмите Сохранить, чтобы применить настроенные параметры.
Следующие шаги
Дополнительные сведения см. в связанном решении в Azure Marketplace.