Łącznik Fortinet FortiWeb Web Application Firewall dla usługi Microsoft Sentinel
Łącznik danych fortiweb zapewnia możliwość pozyskiwania analizy zagrożeń i zdarzeń do usługi Microsoft Sentinel.
Atrybuty łącznika
| Atrybut łącznika | Opis |
|---|---|
| Tabele usługi Log Analytics | CommonSecurityLog (Fortiweb) |
| Obsługa reguł zbierania danych | Przekształcanie kontrolera domeny obszaru roboczego |
| Obsługiwane przez | Microsoft Corporation |
Przykłady zapytań
10 najważniejszych zagrożeń
Fortiweb
| where isnotempty(EventType)
| summarize count() by EventType
| top 10 by count_
Instrukcje instalacji dostawcy
- Konfiguracja agenta syslogu systemu Linux
Zainstaluj i skonfiguruj agenta systemu Linux w celu zbierania komunikatów dziennika systemu Common Event Format (CEF) i przekazywania ich do usługi Microsoft Sentinel.
Zwróć uwagę, że dane ze wszystkich regionów będą przechowywane w wybranym obszarze roboczym
1.1 Wybieranie lub tworzenie maszyny z systemem Linux
Wybierz lub utwórz maszynę z systemem Linux, która będzie używana przez usługę Microsoft Sentinel jako serwer proxy między rozwiązaniem zabezpieczeń a usługą Microsoft Sentinel, która może znajdować się w środowisku lokalnym, na platformie Azure lub w innych chmurach.
1.2 Instalowanie modułu zbierającego CEF na maszynie z systemem Linux
Zainstaluj program Microsoft Monitoring Agent na maszynie z systemem Linux i skonfiguruj maszynę do nasłuchiwania na wymaganym porcie i przekazywania komunikatów do obszaru roboczego usługi Microsoft Sentinel. Moduł zbierający CEF zbiera komunikaty CEF na porcie 514 TCP.
- Upewnij się, że na maszynie masz język Python, używając następującego polecenia: python -version.
- Musisz mieć uprawnienia z podwyższonym poziomem uprawnień (sudo) na maszynie.
Uruchom następujące polecenie, aby zainstalować moduł zbierający CEF i zastosować go:
sudo wget -O cef_installer.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/CEF/cef_installer.py&&sudo python cef_installer.py {0} {1}
- Przekazywanie dzienników common Event Format (CEF) do agenta dziennika systemowego
Ustaw rozwiązanie zabezpieczeń, aby wysyłać komunikaty dziennika systemowego w formacie CEF do maszyny proxy. Upewnij się, że dzienniki są wysyłane do portu 514 TCP na adres IP maszyny.
- Weryfikowanie połączenia
Postępuj zgodnie z instrukcjami, aby zweryfikować łączność:
Otwórz usługę Log Analytics, aby sprawdzić, czy dzienniki są odbierane przy użyciu schematu CommonSecurityLog.
Przesyłanie strumieniowe danych połączenia do obszaru roboczego może potrwać około 20 minut.
Jeśli dzienniki nie zostaną odebrane, uruchom następujący skrypt weryfikacji łączności:
- Upewnij się, że na maszynie masz język Python, używając następującego polecenia: python -version
- Musisz mieć podniesione uprawnienia (sudo) na maszynie
Uruchom następujące polecenie, aby zweryfikować łączność:
sudo wget -O cef_troubleshoot.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/CEF/cef_troubleshoot.py&&sudo python cef_troubleshoot.py {0}
- Zabezpieczanie maszyny
Pamiętaj, aby skonfigurować zabezpieczenia maszyny zgodnie z zasadami zabezpieczeń organizacji
Następne kroki
Aby uzyskać więcej informacji, przejdź do powiązanego rozwiązania w Azure Marketplace.