Conector Fortinet para Microsoft Sentinel
El conector de Fortinet Firewall permite conectar fácilmente los registros de Fortinet con Microsoft Sentinel para ver paneles, crear alertas personalizadas y mejorar la investigación. Esto le ofrece más información sobre la red de su organización y mejora las capacidades de las operaciones de seguridad.
Atributos del conector
Atributo del conector | Descripción |
---|---|
Tabla de Log Analytics | CommonSecurityLog (Fortinet) |
Compatibilidad con reglas de recopilación de datos | DCR de transformación del área de trabajo |
Compatible con | Microsoft Corporation |
Ejemplos de consultas
Todos los registros
CommonSecurityLog
| where DeviceVendor == "Fortinet"
| where DeviceProduct startswith "Fortigate"
| sort by TimeGenerated
Resumir por dirección IP y puerto de destino
CommonSecurityLog
| where DeviceVendor == "Fortinet"
| where DeviceProduct startswith "Fortigate"
| summarize count() by DestinationIP, DestinationPort, TimeGenerated
| sort by TimeGenerated
Instrucciones de instalación del proveedor
- Configuración del agente de Syslog para Linux
Instale y configure el agente de Linux para recopilar los mensajes de Syslog del formato de evento común (CEF) y reenviarlos a Microsoft Sentinel.
Tenga en cuenta que los datos de todas las regiones se almacenarán en el área de trabajo seleccionada.
1.1. Selección o creación de una máquina Linux
Seleccione o cree una máquina Linux que Microsoft Sentinel usará como proxy entre la solución de seguridad y Microsoft Sentinel. Dicha máquina puede encontrarse en su entorno local, en Azure o en otras nubes.
1.2. Instalación del recopilador de CEF en la máquina Linux
Instale Microsoft Monitoring Agent en la máquina Linux y configure la máquina para que escuche en el puerto necesario y reenvíe los mensajes al área de trabajo de Microsoft Sentinel. El recopilador CEF recopila mensajes CEF en el puerto TCP 514.
- Asegúrese de que tiene Python en la máquina con el siguiente comando: python --version.
- Debe tener permisos elevados (sudo) en la máquina.
Ejecute el comando siguiente para instalar y aplicar el recopilador de CEF:
sudo wget -O cef_installer.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/CEF/cef_installer.py &&sudo python cef_installer.py {0} {1}
- Reenvío de registros de Fortinet al agente de Syslog
Configure Fortinet para enviar los mensajes de Syslog en formato CEF a la máquina proxy. Asegúrese de enviar los registros al puerto TCP 514 en la dirección IP de la máquina.
Copie los comandos de la CLI siguientes y:
- Reemplace "<dirección IP> del servidor" por la dirección IP del agente de Syslog.
- Establezca el valor de "<facility_name>" para usar el recurso que configuró en el agente de Syslog (de manera predeterminada, el agente establece esta opción en local4).
- Establezca el puerto de Syslog en 514, el puerto que usa el agente.
- Para habilitar el formato CEF en las primeras versiones de FortiOS, es posible que deba ejecutar el comando "set csv disable".
Para más información, vaya a la biblioteca de documentos de Fortinet, elija su versión y use los documentos PDF "Handbook" y "Log Message Reference".
Configure la conexión mediante la CLI para ejecutar los siguientes comandos:
config log syslogd setting set status enable set format cef set port 514 set server <ip_address_of_Receiver> end
- Validación de la conexión
Siga las instrucciones para validar la conectividad:
Abra Log Analytics para comprobar si los registros se reciben con el esquema CommonSecurityLog.
La conexión tarda unos 20 minutos en empezar a transmitir datos al área de trabajo.
Si no se reciben los registros, ejecute el siguiente script de validación de conectividad:
- Asegúrese de que tiene Python en la máquina con el siguiente comando: python --version
- Debe tener permisos elevados (sudo) en la máquina.
Ejecute el comando siguiente para validar la conectividad:
sudo wget -O cef_troubleshoot.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/CEF/cef_troubleshoot.py &&sudo python cef_troubleshoot.py {0}
- Proteja la máquina
Asegúrese de configurar la seguridad de la máquina de acuerdo con la directiva de seguridad de su organización.
Pasos siguientes
Para obtener más información, vaya a la solución relacionada en Azure Marketplace.