Forcepoint Firewall🔗
以下は、Forcepoint Firewallを設定してSecureworks® Taegis™ XDRへのログ取り込みを実現するための手順です。
XDRによって正規化されるForcepoint Firewallのイベントタイプは以下の通りです。
- 認証
- ブラウザベースのユーザー認証
- DHCPリレー
- インスペクション
- パケットフィルタリング
接続要件🔗
| ソース | 宛先 | ポート/プロトコル |
|---|---|---|
| Forcepoint Firewall | Taegis™ XDR Collector (mgmt IP) | UDP/514 |
インテグレーションから提供されるデータ🔗
| 正規化されたデータ | 汎用的な検知 | ベンダー固有の検知 | |
|---|---|---|---|
| Forecepoint Firewall | DHCP | Auth, HTTP, Netflow | Thirdparty |
注意
XDR検知機は、データソースのログが特定の検知機に関連付けられたスキーマに正規化されていても、必ずしもトリガーされるとは限りません。ただし、カスタム検出ルールを作成することで、データソースから正規化されたデータに基づいて検出を生成することができます。
Forcepoint Firewallプラットフォームの設定🔗
Syslogヘッダーの設定🔗
Forcepointドキュメント{: target="blank"} の _Syslogヘッダーの設定オプション セクションに従い、Syslogヘッダーを設定してください。
SYSLOG_COMPLETE_HEADER=trueに設定します
ログ転送の設定🔗
Forcepointドキュメント{: target="blank"} の _ログおよび監査データ転送の設定 セクションに従い、ログ転送を設定してください。
以下の情報を入力します。
| オプション | 必要な値 |
|---|---|
| ターゲットホスト | XDR Collector (mgmt IP) |
| サービス | UDP |
| ポート | 514 |
| フォーマット | CEF |
クエリ言語検索例🔗
過去24時間のForcepoint Firewallイベントを検索するには:
WHERE sensor_type = 'FORCEPOINT_FIREWALL' and EARLIEST=-24h
ユーザー「foo」に関連するauthイベントを検索するには:
FROM auth WHERE sensor_type = 'FORCEPOINT_FIREWALL' and source_user_name = 'foo'
特定の送信元IPアドレスに関連するhttpイベントを検索するには:
FROM http WHERE sensor_type='FORCEPOINT_FIREWALL' AND source_address = '10.19.50.23'
インスペクションイベントを検索するには:
FROM thirdpartyalert WHERE sensor_type='FORCEPOINT_FIREWALL'