Fortinet FortiWeb Web 應用程式防火牆 Microsoft Sentinel 連接器
fortiweb資料連線器提供將威脅分析和事件內嵌至 Microsoft Sentinel 的功能。
連接器屬性
連接器屬性 | Description |
---|---|
記錄分析資料表 | CommonSecurityLog (Fortiweb) |
資料收集規則支援 | 工作區轉換 DCR |
支援者 | Microsoft Corporation |
查詢範例
前 10 大威脅
Fortiweb
| where isnotempty(EventType)
| summarize count() by EventType
| top 10 by count_
廠商安裝指示
- Linux Syslog 代理程式設定
安裝和設定 Linux 代理程式以收集您的 Common Event Format (CEF) Syslog 訊息,並將其轉送到 Microsoft Sentinel。
請注意,來自所有區域的資料將會儲存在選取的工作區中
1.1 選取或建立 Linux 電腦
選取或建立 Microsoft Sentinel 將用來作為安全性解決方案與 Microsoft Sentinel 之間 Proxy 的 Linux 電腦,此電腦可以位於內部部署環境、Azure 或其他雲端上。
1.2 在 Linux 電腦上安裝 CEF 收集器
在 Linux 電腦上安裝 Microsoft Monitoring Agent,並將機器設定為接聽必要的埠,並將訊息轉送至您的 Microsoft Sentinel 工作區。 CEF 收集器會在埠 514 TCP 上收集 CEF 訊息。
- 使用下列命令,確定您的電腦上有 Python:python -version。
- 您在機器上必須具有更高的權限 (sudo)。
執行下列命令以安裝並套用 CEF 收集器:
sudo wget -O cef_installer.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/CEF/cef_installer.py&&sudo python cef_installer.py {0} {1}
- 將一般事件格式 (CEF) 記錄轉送至 Syslog 代理程式
設定您的安全性解決方案,以 CEF 格式將 Syslog 訊息傳送至 Proxy 電腦。 請務必將記錄傳送至機器 IP 位址上的埠 514 TCP。
- 驗證連線
請遵循指示來驗證您的連線能力:
開啟 Log Analytics 以檢查是否使用 CommonSecurityLog 架構接收記錄。
連線將資料串流至您的工作區可能需要大約 20 分鐘的時間。
如果未收到記錄,請執行下列連線驗證腳本:
- 使用下列命令確定您的電腦上有 Python:python -version
- 您必須在機器上擁有 (sudo) 提高的許可權
執行下列命令來驗證您的連線能力:
sudo wget -O cef_troubleshoot.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/CEF/cef_troubleshoot.py&&sudo python cef_troubleshoot.py {0}
- 保護您的機器
請務必根據組織的安全性原則來設定電腦的安全性
下一步
如需詳細資訊,請移至Azure Marketplace中的相關解決方案。