Konektor Fortinet pro Microsoft Sentinel
Konektor brány firewall Fortinet umožňuje snadno připojit protokoly Fortinetu ke službě Microsoft Sentinel, zobrazit řídicí panely, vytvářet vlastní výstrahy a vylepšovat šetření. Získáte tak lepší přehled o síti vaší organizace a zlepšíte možnosti operací zabezpečení.
Atributy konektoru
| Atribut konektoru | Description |
|---|---|
| Tabulky Log Analytics | CommonSecurityLog (Fortinet) |
| Podpora pravidel shromažďování dat | DcR transformace pracovního prostoru |
| Podporováno uživatelem | Microsoft Corporation |
Ukázky dotazů
Všechny protokoly
CommonSecurityLog
| where DeviceVendor == "Fortinet"
| where DeviceProduct startswith "Fortigate"
| sort by TimeGenerated
Shrnutí podle cílové IP adresy a portu
CommonSecurityLog
| where DeviceVendor == "Fortinet"
| where DeviceProduct startswith "Fortigate"
| summarize count() by DestinationIP, DestinationPort, TimeGenerated
| sort by TimeGenerated
Pokyny k instalaci dodavatele
- Konfigurace agenta Syslog pro Linux
Nainstalujte a nakonfigurujte agenta pro Linux tak, aby shromažďoval zprávy Syslogu ve formátu CEF (Common Event Format) a předával je službě Microsoft Sentinel.
Všimněte si, že data ze všech oblastí budou uložena ve vybraném pracovním prostoru.
1.1 Výběr nebo vytvoření počítače s Linuxem
Vyberte nebo vytvořte počítač s Linuxem, který bude Microsoft Sentinel používat jako proxy mezi vaším řešením zabezpečení a službou Microsoft Sentinel, který může být ve vašem místním prostředí, Azure nebo jiných cloudech.
1.2 Instalace kolektoru CEF na počítač s Linuxem
Nainstalujte na počítač s Linuxem agenta Microsoft Monitoring Agent a nakonfigurujte počítač tak, aby naslouchal na potřebném portu a předával zprávy do pracovního prostoru služby Microsoft Sentinel. Kolektor CEF shromažďuje zprávy CEF na portu 514 TCP.
- Pomocí následujícího příkazu se ujistěte, že na počítači máte Python: python --version.
- Na počítači musíte mít zvýšená oprávnění (sudo).
Spuštěním následujícího příkazu nainstalujte a použijte kolektor CEF:
sudo wget -O cef_installer.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/CEF/cef_installer.py &&sudo python cef_installer.py {0} {1}
- Předávání protokolů Fortinet agentovi Syslogu
Nastavte fortinet tak, aby odesílal zprávy Syslogu ve formátu CEF do proxy počítače. Nezapomeňte protokoly odeslat na port 514 TCP na IP adresu počítače.
Zkopírujte následující příkazy rozhraní příkazového řádku a:
- Nahraďte "IP adresa> serveru<" IP adresou agenta Syslogu.
- Nastavte "<facility_name>" tak, aby používal zařízení, které jste nakonfigurovali v agentu Syslog (ve výchozím nastavení agent toto nastavení nastaví na local4).
- Nastavte port Syslog na 514, tedy port, který používá váš agent.
- Pokud chcete povolit formát CEF v dřívějších verzích FortiOS, možná budete muset spustit příkaz set csv disable.
Další informace najdete v knihovně dokumentů Fortinet, zvolte svoji verzi a použijte soubory PDF "Handbook" a "Log Message Reference".
Nastavte připojení pomocí rozhraní příkazového řádku a spusťte následující příkazy:
konfigurační protokol syslogd nastavení stav povolit nastavit formát cef set port 514 set server <ip_address_of_Receiver> end
- Ověření připojení
Podle pokynů ověřte připojení:
Otevřete Log Analytics a zkontrolujte, jestli se protokoly přijímají pomocí schématu CommonSecurityLog.
Než připojení streamuje data do vašeho pracovního prostoru, může to trvat přibližně 20 minut.
Pokud protokoly nepřijdou, spusťte následující ověřovací skript připojení:
- Pomocí následujícího příkazu se ujistěte, že na počítači máte Python: python --version.
- Na počítači musíte mít zvýšená oprávnění (sudo).
Spuštěním následujícího příkazu ověřte připojení:
sudo wget -O cef_troubleshoot.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/CEF/cef_troubleshoot.py &&sudo python cef_troubleshoot.py {0}
- Zabezpečení počítače
Nezapomeňte nakonfigurovat zabezpečení počítače podle zásad zabezpečení vaší organizace.
Další kroky
Další informace najdete v tématu související řešení v Azure Marketplace.