[Zastaralé] Fortinet prostřednictvím konektoru starší verze agenta pro Microsoft Sentinel
Konektor brány firewall Fortinet umožňuje snadno propojit protokoly Fortinet s Microsoft Sentinelem, zobrazit řídicí panely, vytvářet vlastní výstrahy a vylepšovat šetření. Tím získáte lepší přehled o síti vaší organizace a zlepšíte možnosti operací zabezpečení.
Jedná se o automaticky vygenerovaný obsah. Pokud potřebujete změny, obraťte se na poskytovatele řešení.
atributy Připojení oru
atribut Připojení or | Popis |
---|---|
Tabulky Log Analytics | CommonSecurityLog (Fortinet) |
Podpora pravidel shromažďování dat | Transformace pracovního prostoru – DCR |
Podporováno | Microsoft Corporation |
Ukázky dotazů
Všechny protokoly
CommonSecurityLog
| where DeviceVendor == "Fortinet"
| where DeviceProduct startswith "Fortigate"
| sort by TimeGenerated
Shrnutí podle cílové IP adresy a portu
CommonSecurityLog
| where DeviceVendor == "Fortinet"
| where DeviceProduct startswith "Fortigate"
| summarize count() by DestinationIP, DestinationPort, TimeGenerated
| sort by TimeGenerated
Pokyny k instalaci dodavatele
Konfigurace agenta Syslog pro Linux 1.0
Nainstalujte a nakonfigurujte agenta Linuxu tak, aby shromažďoval zprávy Syslogu ve formátu CEF (Common Event Format) a předával je do Služby Microsoft Sentinel.
Všimněte si, že data ze všech oblastí budou uložena ve vybraném pracovním prostoru.
1.1 Výběr nebo vytvoření počítače s Linuxem
Vyberte nebo vytvořte počítač s Linuxem, který Bude Microsoft Sentinel používat jako proxy server mezi vaším řešením zabezpečení a Microsoft Sentinelem, může být váš místní prostředí, Azure nebo jiné cloudy.
1.2 Instalace kolektoru CEF na počítači s Linuxem
Nainstalujte agenta Microsoft Monitoring Agent na počítač s Linuxem a nakonfigurujte počítač tak, aby naslouchal potřebným portům a přeposílal zprávy do pracovního prostoru Služby Microsoft Sentinel. Kolektor CEF shromažďuje zprávy CEF na portu 514 TCP.
Pomocí následujícího příkazu se ujistěte, že máte na počítači Python: python --version.
Na počítači musíte mít zvýšená oprávnění (sudo).
Spuštěním následujícího příkazu nainstalujte a použijte kolektor CEF:
sudo wget -O cef_installer.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/CEF/cef_installer.py &&sudo python cef_installer.py {0} {1}
Předávání protokolů Fortinet do agenta Syslog
Nastavte fortinet tak, aby do proxy počítače odesílaly zprávy Syslogu ve formátu CEF. Nezapomeňte protokoly odeslat na port 514 TCP na IP adrese počítače.
Zkopírujte následující příkazy rozhraní příkazového řádku a:
- Nahraďte IP adresu> serveru <IP adresou agenta Syslog.
- Nastavte "<facility_name>" tak, aby používala zařízení, které jste nakonfigurovali v agentu Syslog (ve výchozím nastavení to agent nastaví na místní4).
- Nastavte port Syslog na 514, port, který používá váš agent.
- Pokud chcete povolit formát CEF v dřívějších verzích FortiOS, možná budete muset spustit příkaz "set csv disable".
Další informace najdete v knihovně dokumentů Fortinet, zvolte svoji verzi a použijte pdf soubory "Handbook" a "Log Message Reference".
Nastavte připojení pomocí rozhraní příkazového řádku a spusťte následující příkazy:
config log syslogd setting
set status enable
set format cef
set port 514
set server <ip_address_of_Receiver>
end
1.3 Ověření připojení
Podle pokynů ověřte připojení:
Otevřete Log Analytics a zkontrolujte, jestli se protokoly přijímají pomocí schématu CommonSecurityLog.
Může to trvat přibližně 20 minut, než připojení streamuje data do vašeho pracovního prostoru.
Pokud protokoly nejsou přijaty, spusťte následující ověřovací skript připojení:
Pomocí následujícího příkazu se ujistěte, že máte na počítači Python: python --version.
Na počítači musíte mít zvýšená oprávnění (sudo).
Spuštěním následujícího příkazu ověřte připojení:
sudo wget -O cef_troubleshoot.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/CEF/cef_troubleshoot.py &&sudo python cef_troubleshoot.py {0}
Zabezpečení počítače
Nezapomeňte nakonfigurovat zabezpečení počítače podle zásad zabezpečení vaší organizace.
Další kroky
Další informace najdete v souvisejícím řešení na Azure Marketplace.
Váš názor
https://aka.ms/ContentUserFeedback.
Připravujeme: V průběhu roku 2024 budeme postupně vyřazovat problémy z GitHub coby mechanismus zpětné vazby pro obsah a nahrazovat ho novým systémem zpětné vazby. Další informace naleznete v tématu:Odeslat a zobrazit názory pro