Connecter Fortinet à Azure SentinelConnect Fortinet to Azure Sentinel

Cet article explique comment connecter votre appliance Fortinet à Azure Sentinel.This article explains how to connect your Fortinet appliance to Azure Sentinel. Le connecteur de données Fortinet vous permet de connecter facilement vos journaux Fortinet à Azure Sentinel, de consulter des tableaux de bord, de créer des alertes personnalisées et d’améliorer les enquêtes.The Fortinet data connector allows you to easily connect your Fortinet logs with Azure Sentinel, to view dashboards, create custom alerts, and improve investigation. L’utilisation de Fortinet sur Azure Sentinel vous permet d’obtenir davantage d’informations sur l’utilisation d’Internet de votre organisation et améliore ses fonctionnalités de sécurité.Using Fortinet on Azure Sentinel will provide you more insights into your organization’s Internet usage, and will enhance its security operation capabilities.

FonctionnementHow it works

Vous devez déployer un agent sur une machine Linux dédiée (machine virtuelle ou ordinateur local) afin de prendre en charge les communications entre Fortinet et Azure Sentinel.You need to deploy an agent on a dedicated Linux machine (VM or on premises) to support the communication between Fortinet and Azure Sentinel. Le diagramme suivant décrit la configuration dans le cas d’une machine virtuelle Linux dans Azure.The following diagram describes the setup in the event of a Linux VM in Azure.

CEF dans Azure

Cette configuration existe également si vous utilisez une machine virtuelle dans un autre cloud ou sur un ordinateur local.Alternatively, this setup will exist if you use a VM in another cloud, or an on-premises machine.

CEF local

Considérations relatives à la sécuritéSecurity considerations

Veillez à configurer la sécurité de la machine en fonction de la stratégie de sécurité de votre organisation.Make sure to configure the machine's security according to your organization's security policy. Par exemple, vous pouvez configurer votre réseau de sorte qu’il s’accorde à la stratégie de sécurité de votre réseau d’entreprise, et modifier les ports et les protocoles dans le démon pour les adapter à vos besoins.For example, you can configure your network to align with your corporate network security policy and change the ports and protocols in the daemon to align with your requirements. Vous pouvez utiliser les instructions suivantes pour améliorer la configuration de la sécurité de votre machine :  Sécurisation de la machine virtuelle dans Azure, Bonnes pratiques pour la sécurité réseau.You can use the following instructions to improve your machine security configuration:  Secure VM in Azure, Best practices for Network security.

Pour utiliser la communication TLS entre la solution de sécurité et la machine Syslog, vous devez configurer le démon Syslog (rsyslog or syslog-ng) pour communiquer avec le TLS : Chiffrement du trafic Syslog avec TLS –rsyslog, Chiffrement des messages du journal avec TLS – syslog-ng.To use TLS communication between the security solution and the Syslog machine, you will need to configure the Syslog daemon (rsyslog or syslog-ng) to communicate in TLS: Encrypting Syslog Traffic with TLS -rsyslog, Encrypting log messages with TLS –syslog-ng.

PrérequisPrerequisites

Assurez-vous que l’ordinateur Linux que vous utilisez en tant que proxy exécute l’un des systèmes d’exploitation suivants :Make sure the Linux machine you use as a proxy is running one of the following operating systems:

  • 64 bits64-bit

    • CentOS 6 et 7CentOS 6 and 7
    • Amazon Linux 2017.09Amazon Linux 2017.09
    • Oracle Linux 6 et 7Oracle Linux 6 and 7
    • Red Hat Enterprise Linux Server 6 et 7Red Hat Enterprise Linux Server 6 and 7
    • Debian GNU/Linux 8 et 9Debian GNU/Linux 8 and 9
    • Ubuntu Linux 14.04 LTS, 16.04 LTS et 18.04 LTSUbuntu Linux 14.04 LTS, 16.04 LTS and 18.04 LTS
    • SUSE Linux Enterprise Server 12SUSE Linux Enterprise Server 12
  • 32 bits32-bit

    • CentOS 6CentOS 6
    • Oracle Linux 6Oracle Linux 6
    • Red Hat Enterprise Linux Server 6Red Hat Enterprise Linux Server 6
    • Debian GNU/Linux 8 et 9Debian GNU/Linux 8 and 9
    • Ubuntu Linux 14.04 LTS et 16.04 LTSUbuntu Linux 14.04 LTS and 16.04 LTS
  • Versions de démonDaemon versions

    • Syslog-ng : 2.1 - 3.22.1Syslog-ng: 2.1 - 3.22.1
    • Rsyslog : v8Rsyslog: v8
  • Syslog RFC pris en chargeSyslog RFCs supported

    • Syslog RFC 3164Syslog RFC 3164
    • Syslog RFC 5424Syslog RFC 5424

Assurez-vous que votre ordinateur répond également aux exigences suivantes :Make sure your machine also meets the following requirements:

  • AutorisationsPermissions
    • Vous devez disposer d’autorisations élevées (sudo) sur votre ordinateur.You must have elevated permissions (sudo) on your machine.
  • Configuration logicielle requiseSoftware requirements
    • Vérifiez que Python est en cours d’exécution sur votre ordinateurMake sure you have Python running on your machine

ÉTAPE 1 : Déployer l’agentSTEP 1: Deploy the agent

Au cours de cette étape, vous devez sélectionner la machine Linux qui fera office de proxy entre Azure Sentinel et votre solution de sécurité.In this step, you need to select the Linux machine that will act as a proxy between Azure Sentinel and your security solution. Vous devez exécuter un script sur la machine proxy qui :You will have to run a script on the proxy machine that:

  • Installe l’agent Log Analytics et le configure en fonction des besoins pour écouter les messages Syslog sur le port 514 sur TCP et envoyer les messages CEF à votre espace de travail Azure Sentinel.Installs the Log Analytics agent and configures it as needed to listen for Syslog messages on port 514 over TCP and send the CEF messages to your Azure Sentinel workspace.
  • Configure le démon Syslog pour transférer les messages CEF à l’agent Log Analytics à l’aide du port 25226.Configures the Syslog daemon to forward CEF messages to the Log Analytics agent using port 25226.
  • Configure l'agent Syslog pour collecter les données et les envoyer en toute sécurité à Log Analytics, où elles sont analysées et enrichies.Sets the Syslog agent to collect the data and send it securely to Log Analytics, where it is parsed and enriched.
  1. Dans le portail Azure Sentinel, cliquez sur Data Connectors (Connecteurs de données) et sélectionnez Fortinet (Fortinet), puis Open Connector Page (Ouvrir la page du connecteur).In the Azure Sentinel portal, click Data connectors and select Fortinet and then Open connector page.

  2. Sous Installer et configurer l’agent Syslog, sélectionnez le type de votre machine, Azure, autre cloud ou locale.Under Install and configure the Syslog agent, select your machine type, either Azure, other cloud, or on-premises.

    Notes

    Étant donné que le script de l’étape suivante installe l’agent Log Analytics et connecte l’ordinateur à votre espace de travail Azure Sentinel, vérifiez que cet ordinateur n’est pas connecté à un autre espace de travail.Because the script in the next step installs the Log Analytics agent and connects the machine to your Azure Sentinel workspace, make sure this machine is not connected to any other workspace.

  3. Vous devez disposer d’autorisations élevées (sudo) sur votre ordinateur.You must have elevated permissions (sudo) on your machine. Vérifiez que vous disposez de Python sur votre ordinateur à l’aide de la commande suivante : python –versionMake sure that you have Python on your machine using the following command: python –version

  4. Exécutez le script suivant sur votre machine proxy.Run the following script on your proxy machine. sudo wget https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/CEF/cef_installer.py&&sudo python cef_installer.py [WorkspaceID] [Workspace Primary Key]

  5. Pendant l’exécution du script, vérifiez que vous ne recevez pas de messages d’erreur ou d’avertissement.While the script is running, check to make sure you don't get any error or warning messages.

Étape 2 : Transférer les journaux Fortinet à l’agent SyslogStep 2: Forward Fortinet logs to the Syslog agent

Configurez Fortinet pour transférer les messages Syslog au format CEF à votre espace de travail Azure par le biais de l’agent Syslog.Configure Fortinet to forward Syslog messages in CEF format to your Azure workspace via the Syslog agent.

  1. Ouvrez l’interface CLI sur votre appliance Fortinet et exécutez les commandes suivantes :Open the CLI on your Fortinet appliance and run the following commands:

     config log syslogd setting
     set format cef
     set port 514
     set reliable disable
     set server <ip_address_of_Receiver>
     set status enable
     end
    
    • Remplacez l’adresse IP du serveur par l’adresse IP de l’agent.Replace the server ip address with the IP address of the agent.
    • Affectez au port Syslog la valeur 514 ou la valeur du port défini sur l’agent.Set the syslog port to 514 or the port set on the agent.
    • Pour activer le format CEF dans les premières versions de FortiOS, vous devrez peut-être exécuter le jeu de commandes csv disable.To enable CEF format in early FortiOS versions, you might need to run the command set csv disable.

    Notes

    Pour plus d’informations, accédez à la bibliothèque de documents Fortinet.For more information, go to the Fortinet document library. Sélectionnez votre version et utilisez le manuel d’utilisation (Handbook) et la référence des messages de journaux (Log Message Reference).Select your version, and use the Handbook and Log Message Reference.

Pour utiliser le schéma pertinent dans Azure Monitor Log Analytics pour les événements Fortinet, recherchez CommonSecurityLog.To use the relevant schema in Azure Monitor Log Analytics for the Fortinet events, search for CommonSecurityLog.

ÉTAPE 3 : Valider la connectivitéSTEP 3: Validate connectivity

  1. Ouvrez Log Analytics pour vous assurer que les journaux sont reçus à l’aide du schéma CommonSecurityLog.Open Log Analytics to make sure that logs are received using the CommonSecurityLog schema.
    Plus de 20 minutes peuvent être nécessaires avant que vos journaux ne commencent à apparaître dans Log Analytics.It may take upwards of 20 minutes until your logs start to appear in Log Analytics.

  2. Avant d’exécuter le script, nous vous recommandons d’envoyer des messages à partir de votre solution de sécurité pour vous assurer qu’ils sont transmis à la machine proxy Syslog que vous avez configurée.Before you run the script, we recommend that you send messages from your security solution to make sure they are being forwarded to the Syslog proxy machine you configured.

  3. Vous devez disposer d’autorisations élevées (sudo) sur votre ordinateur.You must have elevated permissions (sudo) on your machine. Vérifiez que vous disposez de Python sur votre ordinateur à l’aide de la commande suivante : python –versionMake sure that you have Python on your machine using the following command: python –version

  4. Exécutez le script suivant pour vérifier la connectivité entre l’agent, Azure Sentinel et votre solution de sécurité.Run the following script to check connectivity between the agent, Azure Sentinel, and your security solution. Il vérifie que le transfert de démon est correctement configuré, écoute sur les ports appropriés et s’assure que rien ne bloque la communication entre le démon et l’agent Log Analytics.It checks that the daemon forwarding is properly configured, listens on the correct ports, and that nothing is blocking communication between the daemon and the Log Analytics agent. Le script envoie également des messages fictifs « TestCommonEventFormat » pour vérifier la connectivité de bout en bout.The script also sends mock messages 'TestCommonEventFormat' to check end-to-end connectivity.
    sudo wget https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/CEF/cef_troubleshoot.py&&sudo python cef_troubleshoot.py [WorkspaceID]

Étapes suivantesNext steps

Dans cet article, vous avez appris à connecter des appliances Fortinet à Azure Sentinel.In this article, you learned how to connect Fortinet appliances to Azure Sentinel. Pour en savoir plus sur Azure Sentinel, voir les articles suivants :To learn more about Azure Sentinel, see the following articles: