Microsoft Sentinel için Fortinet bağlayıcısı
Fortinet güvenlik duvarı bağlayıcısı, fortinet günlüklerinizi Microsoft Sentinel'e kolayca bağlamanıza, panoları görüntülemenize, özel uyarılar oluşturmanıza ve araştırmayı geliştirmenize olanak tanır. Bu, kuruluşunuzun ağı hakkında daha fazla içgörü sağlar ve güvenlik işlemi özelliklerinizi geliştirir.
Bağlayıcı öznitelikleri
| Bağlayıcı özniteliği | Description |
|---|---|
| Log Analytics tabloları | CommonSecurityLog (Fortinet) |
| Veri toplama kuralları desteği | Çalışma alanı dönüştürme DCR |
| Destekleyen | Microsoft Corporation |
Sorgu örnekleri
Tüm günlükler
CommonSecurityLog
| where DeviceVendor == "Fortinet"
| where DeviceProduct startswith "Fortigate"
| sort by TimeGenerated
Hedef IP'ye ve bağlantı noktasına göre özetleme
CommonSecurityLog
| where DeviceVendor == "Fortinet"
| where DeviceProduct startswith "Fortigate"
| summarize count() by DestinationIP, DestinationPort, TimeGenerated
| sort by TimeGenerated
Satıcı yükleme yönergeleri
- Linux Syslog aracısı yapılandırması
Linux aracısını yükleyip yapılandırarak Ortak Olay Biçimi (CEF) Syslog iletilerinizi toplayın ve Bunları Microsoft Sentinel'e iletin.
Tüm bölgelerdeki verilerin seçili çalışma alanında depolandığına dikkat edin
1.1 Linux makinesi seçme veya oluşturma
Microsoft Sentinel'in güvenlik çözümünüzle Microsoft Sentinel arasında ara sunucu olarak kullanacağı bir Linux makinesi seçin veya oluşturun. Bu makine şirket içi ortamınızda, Azure'da veya diğer bulutlarda olabilir.
1.2 Linux makinesine CEF toplayıcısını yükleme
Linux makinenize Microsoft Monitoring Agent'ı yükleyin ve makineyi gerekli bağlantı noktasını dinleyecek ve iletileri Microsoft Sentinel çalışma alanınıza iletecek şekilde yapılandırın. CEF toplayıcısı 514 TCP numaralı bağlantı noktasında CEF iletilerini toplar.
- Aşağıdaki komutu kullanarak makinenizde Python olduğundan emin olun: python --version.
- Makinenizde yükseltilmiş izinlere (sudo) sahip olmanız gerekir.
CEF toplayıcısını yüklemek ve uygulamak için aşağıdaki komutu çalıştırın:
sudo wget -O cef_installer.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/CEF/cef_installer.py &&sudo python cef_installer.py {0} {1}
- Fortinet günlüklerini Syslog aracısına iletme
Fortinet'inizi, Syslog iletilerini ara sunucu makinesine CEF biçiminde gönderecek şekilde ayarlayın. Günlükleri makinenin IP adresindeki 514 numaralı TCP bağlantı noktasına gönderdiğinizden emin olun.
Aşağıdaki CLI komutlarını kopyalayın ve:
- "Sunucu <ip adresi>" yerine Syslog aracısının IP adresini yazın.
- Syslog aracısında yapılandırdığınız özelliği kullanmak için "<facility_name>" ayarlayın (aracı varsayılan olarak bunu local4 olarak ayarlar).
- Syslog bağlantı noktasını, aracınızın kullandığı bağlantı noktası olan 514 olarak ayarlayın.
- ERKEN FortiOS sürümlerinde CEF biçimini etkinleştirmek için "set csv disable" komutunu çalıştırmanız gerekebilir.
Daha fazla bilgi için Fortinet Belge Kitaplığı'na gidin, sürümünüzü seçin ve "El Kitabı" ile "İleti Başvurularını Günlüğe Kaydet" PDF'lerini kullanın.
Aşağıdaki komutları çalıştırmak için CLI kullanarak bağlantıyı ayarlayın:
yapılandırma günlüğü syslogd ayar kümesi durumu etkinleştir ayar biçimi cef set bağlantı noktası 514 sunucu ip_address_of_Receiver <> sonu
- Bağlantıyı doğrulama
Bağlantınızı doğrulamak için yönergeleri izleyin:
Günlüklerin CommonSecurityLog şeması kullanılarak alınılıp alınmadığını denetlemek için Log Analytics'i açın.
Bağlantının çalışma alanınıza veri akışı gerçekleştirmesi yaklaşık 20 dakika sürebilir.
Günlükler alınmazsa aşağıdaki bağlantı doğrulama betiğini çalıştırın:
- Aşağıdaki komutu kullanarak makinenizde Python olduğundan emin olun: python --version
- Makinenizde yükseltilmiş izinlere (sudo) sahip olmanız gerekir
Bağlantınızı doğrulamak için aşağıdaki komutu çalıştırın:
sudo wget -O cef_troubleshoot.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/CEF/cef_troubleshoot.py &&sudo python cef_troubleshoot.py {0}
- Makinenizin güvenliğini sağlama
Makinenin güvenliğini kuruluşunuzun güvenlik ilkesine göre yapılandırdığından emin olun
Sonraki adımlar
Daha fazla bilgi için Azure Market ilgili çözüme gidin.