Fortinet-összekötő a Microsoft Sentinelhez
A Fortinet tűzfal-összekötővel egyszerűen csatlakoztathatja Fortinet-naplóit a Microsoft Sentinelhez, megtekintheti az irányítópultokat, egyéni riasztásokat hozhat létre, és javíthatja a vizsgálatot. Ez további betekintést nyújt a szervezet hálózatába, és javítja a biztonsági műveleti képességeket.
Összekötő-attribútumok
| Összekötő attribútum | Description |
|---|---|
| Log Analytics-tábla(ok) | CommonSecurityLog (Fortinet) |
| Adatgyűjtési szabályok támogatása | Munkaterület-átalakítás – DCR |
| Támogatja: | Microsoft Corporation |
Példák lekérdezésekre
Minden napló
CommonSecurityLog
| where DeviceVendor == "Fortinet"
| where DeviceProduct startswith "Fortigate"
| sort by TimeGenerated
Összegzés cél IP-címe és portja szerint
CommonSecurityLog
| where DeviceVendor == "Fortinet"
| where DeviceProduct startswith "Fortigate"
| summarize count() by DestinationIP, DestinationPort, TimeGenerated
| sort by TimeGenerated
Szállító telepítési útmutatója
- Linux Syslog-ügynök konfigurálása
Telepítse és konfigurálja a Linux-ügynököt a Common Event Format (CEF) Syslog-üzenetek gyűjtésére és a Microsoft Sentinelnek való továbbítására.
Figyelje meg, hogy az összes régióból származó adatok a kiválasztott munkaterületen lesznek tárolva
1.1 Linux rendszerű gép kiválasztása vagy létrehozása
Válasszon ki vagy hozzon létre egy Linux rendszerű gépet, amelyet a Microsoft Sentinel a biztonsági megoldás és a Microsoft Sentinel közötti proxyként fog használni. Ez a gép a helyszíni környezetben, az Azure-ban vagy más felhőkben is lehet.
1.2 A CEF-gyűjtő telepítése a Linux rendszerű gépen
Telepítse a Microsoft Monitoring Agentet a Linux rendszerű gépére, és konfigurálja úgy a gépet, hogy figyelje a szükséges portot, és továbbítsa az üzeneteket a Microsoft Sentinel-munkaterületre. A CEF-gyűjtő a CEF-üzeneteket az 514-ös TCP-porton gyűjti.
- Győződjön meg arról, hogy rendelkezik Pythonnal a gépen a következő paranccsal: python --version.
- Emelt szintű engedélyekkel (sudo) kell rendelkeznie a gépen.
Futtassa a következő parancsot a CEF-gyűjtő telepítéséhez és alkalmazásához:
sudo wget -O cef_installer.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/CEF/cef_installer.py &&sudo python cef_installer.py {0} {1}
- Fortinet-naplók továbbítása a Syslog-ügynöknek
Állítsa be a Fortinetet, hogy CEF formátumban küldjön Syslog-üzeneteket a proxygépnek. Győződjön meg arról, hogy a naplókat a gép IP-címén található 514-ös TCP-portra küldi.
Másolja ki az alábbi CLI-parancsokat, és:
- Cserélje le a "kiszolgáló <IP-címe>" kifejezést a Syslog-ügynök IP-címére.
- Állítsa be a "<facility_name>" értékét a Syslog-ügynökben konfigurált létesítmény használatára (alapértelmezés szerint az ügynök ezt a local4 értékre állítja).
- Állítsa a Syslog-portot 514-re, az ügynök által használt portra.
- Ha engedélyezni szeretné a CEF formátumot a FortiOS korai verzióiban, előfordulhat, hogy futtatnia kell a "set csv disable" parancsot.
További információkért nyissa meg a Fortinet-dokumentumtárat, válassza ki a kívánt verziót, és használja a "Kézikönyv" és a "Naplóüzenetek referenciája" PDF-eket.
Állítsa be a kapcsolatot a parancssori felülettel a következő parancsok futtatásához:
config log syslogd setting set status enable set format cef set port 514 set server <ip_address_of_Receiver> end
- Kapcsolat ellenőrzése
Kövesse az utasításokat a kapcsolat ellenőrzéséhez:
Nyissa meg a Log Analyticset annak ellenőrzéséhez, hogy a naplók a CommonSecurityLog sémával érkeznek-e.
Körülbelül 20 percbe telhet, amíg a kapcsolat adatokat streamel a munkaterületre.
Ha a naplók nem érkeznek meg, futtassa a következő kapcsolatérvényesítési szkriptet:
- Győződjön meg arról, hogy rendelkezik Pythonnal a gépen a következő paranccsal: python --version
- Emelt szintű engedélyekkel (sudo) kell rendelkeznie a gépen
Futtassa a következő parancsot a kapcsolat ellenőrzéséhez:
sudo wget -O cef_troubleshoot.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/CEF/cef_troubleshoot.py &&sudo python cef_troubleshoot.py {0}
- A gép védelme
Győződjön meg arról, hogy a gép biztonságát a szervezet biztonsági szabályzatának megfelelően konfigurálja
Következő lépések
További információt a Azure Marketplace kapcsolódó megoldásában talál.