Fortinet-anslutningsprogram för Microsoft Sentinel
Med Anslutningsappen för Fortinet-brandväggen kan du enkelt ansluta dina Fortinet-loggar till Microsoft Sentinel, visa instrumentpaneler, skapa anpassade aviseringar och förbättra undersökningen. Detta ger dig mer insikt i organisationens nätverk och förbättrar dina säkerhetsfunktioner.
Anslutningsattribut
| Anslutningsattribut | Description |
|---|---|
| Log Analytics-tabeller | CommonSecurityLog (Fortinet) |
| Stöd för regler för datainsamling | Dcr för transformering av arbetsyta |
| Stöds av | Microsoft Corporation |
Exempel på frågor
Alla loggar
CommonSecurityLog
| where DeviceVendor == "Fortinet"
| where DeviceProduct startswith "Fortigate"
| sort by TimeGenerated
Sammanfatta efter mål-IP och port
CommonSecurityLog
| where DeviceVendor == "Fortinet"
| where DeviceProduct startswith "Fortigate"
| summarize count() by DestinationIP, DestinationPort, TimeGenerated
| sort by TimeGenerated
Installationsanvisningar för leverantör
- Linux Syslog-agentkonfiguration
Installera och konfigurera Linux-agenten för att samla in dina Syslog-meddelanden för Common Event Format (CEF) och vidarebefordra dem till Microsoft Sentinel.
Observera att data från alla regioner lagras på den valda arbetsytan
1.1 Välj eller skapa en Linux-dator
Välj eller skapa en Linux-dator som Microsoft Sentinel ska använda som proxy mellan din säkerhetslösning och Microsoft Sentinel den här datorn kan finnas i din lokala miljö, Azure eller andra moln.
1.2 Installera CEF-insamlaren på Linux-datorn
Installera Microsoft Monitoring Agent på din Linux-dator och konfigurera datorn så att den lyssnar på den nödvändiga porten och vidarebefordrar meddelanden till din Microsoft Sentinel-arbetsyta. CEF-insamlaren samlar in CEF-meddelanden på port 514 TCP.
- Kontrollera att du har Python på datorn med följande kommando: python --version.
- Du måste ha utökade behörigheter (sudo) på datorn.
Kör följande kommando för att installera och tillämpa CEF-insamlaren:
sudo wget -O cef_installer.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/CEF/cef_installer.py &&sudo python cef_installer.py {0} {1}
- Vidarebefordra Fortinet-loggar till Syslog-agenten
Ange din Fortinet för att skicka Syslog-meddelanden i CEF-format till proxydatorn. Se till att du skickar loggarna till port 514 TCP på datorns IP-adress.
Kopiera CLI-kommandona nedan och:
- Ersätt "serverns <IP-adress>" med Syslog-agentens IP-adress.
- Ange "<facility_name>" för att använda den anläggning som du konfigurerade i Syslog-agenten (som standard anger agenten detta till local4).
- Ange Syslog-porten till 514, den port som agenten använder.
- Om du vill aktivera CEF-format i tidiga FortiOS-versioner kan du behöva köra kommandot "set csv disable".
Mer information finns i Fortinet-dokumentbiblioteket, välj din version och använd PDF-filerna "Handbook" och "Log Message Reference".
Konfigurera anslutningen med cli för att köra följande kommandon:
Konfigurationslogg syslogd ange status aktivera ange format cef ange port 514 ange server <ip_address_of_Receiver> slut
- Verifiera anslutningen
Följ anvisningarna för att verifiera anslutningen:
Öppna Log Analytics för att kontrollera om loggarna tas emot med hjälp av CommonSecurityLog-schemat.
Det kan ta cirka 20 minuter innan anslutningen strömmar data till din arbetsyta.
Om loggarna inte tas emot kör du följande anslutningsverifieringsskript:
- Kontrollera att du har Python på datorn med följande kommando: python --version
- Du måste ha förhöjd behörighet (sudo) på datorn
Kör följande kommando för att verifiera anslutningen:
sudo wget -O cef_troubleshoot.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/CEF/cef_troubleshoot.py &&sudo python cef_troubleshoot.py {0}
- Skydda datorn
Se till att konfigurera datorns säkerhet enligt organisationens säkerhetsprincip
Nästa steg
Mer information finns i den relaterade lösningen i Azure Marketplace.