Łącznik Fortinet FortiNDR Cloud (przy użyciu usługi Azure Functions) dla usługi Microsoft Sentinel
Łącznik danych Fortinet FortiNDR Cloud zapewnia możliwość pozyskiwania zdarzeń fortinet FortiNDR Cloud przechowywanych w usłudze Amazon S3 w usłudze Microsoft Sentinel przy użyciu interfejsu API REST usługi Amazon S3.
Jest to automatycznie wygenerowana zawartość. W przypadku zmian skontaktuj się z dostawcą rozwiązania.
atrybuty Połączenie or
| atrybut Połączenie or | opis |
|---|---|
| Alias funkcji Kusto | Fortinet_FortiNDR_Cloud |
| Adres URL funkcji Kusto | https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/Fortinet%20FortiNDR%20Cloud/Parsers/Fortinet_FortiNDR_Cloud.md |
| Tabele usługi Log Analytics | FncEventsSuricata_CL FncEventsObservation_CL FncEventsDetections_CL |
| Obsługa reguł zbierania danych | Obecnie nieobsługiwane |
| Obsługiwane przez | Fortinet |
Przykłady zapytań
Fortinet FortiNDR Cloud Suricata Logs
FncEventsSuricata_CL
| sort by TimeGenerated desc
Dzienniki obserwacji chmury FortiNDR FortiNDR
FncEventsObservation_CL
| sort by TimeGenerated desc
Dzienniki wykrywania chmury FortiNDR FortiNDR
FncEventsDetections_CL
| sort by TimeGenerated desc
Wymagania wstępne
Aby zintegrować aplikację Fortinet FortiNDR Cloud (przy użyciu usługi Azure Functions), upewnij się, że masz następujące elementy:
- Uprawnienia Microsoft.Web/sites: wymagane są uprawnienia do odczytu i zapisu w usłudze Azure Functions w celu utworzenia aplikacji funkcji. Zapoznaj się z dokumentacją, aby dowiedzieć się więcej o usłudze Azure Functions.
- MetaStream Credentials/permissions: AWS Access Key Id, AWS Secret Access Key, FortiNDR Cloud Account Code są wymagane do pobrania danych zdarzenia.
Instrukcje instalacji dostawcy
Uwaga
Ten łącznik używa usługi Azure Functions do łączenia się z interfejsem API REST usługi Amazon S3 w celu ściągnięcia dzienników do usługi Microsoft Sentinel. Może to spowodować dodatkowe koszty pozyskiwania danych. Aby uzyskać szczegółowe informacje, zobacz stronę cennika usługi Azure Functions.
(Krok opcjonalny) Bezpiecznie przechowuj obszary robocze i klucze autoryzacji interfejsu API lub tokeny w usłudze Azure Key Vault. Usługa Azure Key Vault zapewnia bezpieczny mechanizm przechowywania i pobierania wartości kluczy. Postępuj zgodnie z tymi instrukcjami , aby używać usługi Azure Key Vault z aplikacją funkcji platformy Azure.
Uwaga
Ten łącznik używa analizatora opartego na funkcji Kusto do normalizacji pól. Wykonaj następujące kroki , aby utworzyć alias funkcji Kusto Fortinet_FortiNDR_Cloud.
KROK 1. Kroki konfiguracji dla kolekcji dzienników chmury FortiNDR FortiNDR
Dostawca powinien podać lub połączyć się ze szczegółowymi krokami konfigurowania punktu końcowego interfejsu API "NAZWA APLIKACJI NAZWY DOSTAWCY", aby funkcja platformy Azure mogła ją pomyślnie uwierzytelnić, pobrać klucz autoryzacji lub token i ściągnąć dzienniki urządzenia do usługi Microsoft Sentinel.
KROK 2. Wybierz jedną z następujących dwóch opcji wdrażania, aby wdrożyć łącznik i skojarzoną funkcję platformy Azure
WAŻNE: Przed wdrożeniem łącznika FortiNDR w chmurze FortiNDR należy mieć identyfikator obszaru roboczego i klucz podstawowy obszaru roboczego (można go skopiować z następujących elementów), a także poświadczenia MetaStream (dostępne w zarządzaniu kontem fortiNDR w chmurze), łatwo dostępne.
Opcja 1 — szablon usługi Azure Resource Manager (ARM)
Ta metoda służy do automatycznego wdrażania łącznika Fortinet FortiNDR Cloud.
Kliknij przycisk Wdróż na platformie Azure poniżej.
Wybierz preferowaną subskrypcję, grupę zasobów i lokalizację.
Wprowadź identyfikator obszaru roboczego, klucz obszaru roboczego, awsAccessKeyId, awsSecretAccessKey i/lub inne wymagane pola.
Kliknij przycisk Utwórz , aby wdrożyć.
Opcja 2 — ręczne wdrażanie usługi Azure Functions
Skorzystaj z poniższych instrukcji krok po kroku, aby ręcznie wdrożyć łącznik FortiNDR Cloud z usługą Azure Functions (wdrażanie za pomocą programu Visual Studio Code).
Następne kroki
Aby uzyskać więcej informacji, przejdź do powiązanego rozwiązania w witrynie Azure Marketplace.