Konektor Fortinet FortiNDR Cloud (pomocí Azure Functions) pro Microsoft Sentinel
Datový konektor Fortinet FortiNDR Cloud poskytuje možnost ingestovat události cloudu Fortinet FortiNDR uložené v AmazonU S3 do Microsoft Sentinelu pomocí rozhraní REST API Amazon S3.
Jedná se o automaticky vygenerovaný obsah. Pokud potřebujete změny, obraťte se na poskytovatele řešení.
atributy Připojení oru
| atribut Připojení or | Popis |
|---|---|
| Alias funkce Kusto | Fortinet_FortiNDR_Cloud |
| Adresa URL funkce Kusto | https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/Fortinet%20FortiNDR%20Cloud/Parsers/Fortinet_FortiNDR_Cloud.md |
| Tabulky Log Analytics | FncEventsSuricata_CL FncEventsObservation_CL FncEventsDetections_CL |
| Podpora pravidel shromažďování dat | V současnosti není podporováno |
| Podporováno | Fortinet |
Ukázky dotazů
Protokoly Fortinet FortiNDR Cloud Suricata
FncEventsSuricata_CL
| sort by TimeGenerated desc
Fortinet FortiNDR – protokoly pozorování cloudu
FncEventsObservation_CL
| sort by TimeGenerated desc
Protokoly detekce cloudu Fortinet FortiNDR
FncEventsDetections_CL
| sort by TimeGenerated desc
Požadavky
Pokud chcete provést integraci s cloudem Fortinet FortiNDR (pomocí Azure Functions), ujistěte se, že máte:
- Oprávnění Microsoft.Web/sites: Vyžaduje se oprávnění ke čtení a zápisu do Azure Functions k vytvoření aplikace funkcí. Další informace o službě Azure Functions najdete v dokumentaci.
- Přihlašovací údaje a oprávnění metastreamu: K načtení dat událostí se vyžaduje ID přístupového klíče AWS, tajný přístupový klíč AWS, kód cloudového účtu FortiNDR.
Pokyny k instalaci dodavatele
Poznámka:
Tento konektor používá Azure Functions k připojení k rozhraní REST API Amazon S3 k načtení protokolů do Microsoft Sentinelu. To může vést k dalším nákladům na příjem dat. Podrobnosti najdete na stránce s cenami služby Azure Functions.
(Volitelný krok) Bezpečně ukládejte pracovní prostor a autorizační klíče rozhraní API nebo tokeny ve službě Azure Key Vault. Azure Key Vault poskytuje zabezpečený mechanismus pro ukládání a načítání hodnot klíčů. Postupujte podle těchto pokynů k používání služby Azure Key Vault s aplikací funkcí Azure.
Poznámka:
Tento konektor používá analyzátor založený na funkci Kusto k normalizaci polí. Pomocí následujícího postupu vytvořte alias funkce Kusto Fortinet_FortiNDR_Cloud.
KROK 1 : Kroky konfigurace pro kolekci cloudových protokolů Fortinet FortiNDR
Poskytovatel by měl poskytnout nebo propojit podrobné kroky ke konfiguraci koncového bodu rozhraní API PROVIDER NAME APPLICATION NAME, aby se služba Azure Functions mohla úspěšně ověřit, získat autorizační klíč nebo token a načíst protokoly zařízení do Služby Microsoft Sentinel.
KROK 2: V následujících dvou možnostech nasazení vyberte jednu z následujících dvou možností nasazení pro nasazení konektoru a přidružené funkce Azure Functions.
DŮLEŽITÉ: Před nasazením cloudového konektoru Fortinet FortiNDR mějte ID pracovního prostoru a primární klíč pracovního prostoru (můžete ho zkopírovat z následujícího) a také přihlašovací údaje metastreamu (dostupné ve správě cloudových účtů FortiNDR), které jsou snadno dostupné.
Možnost 1 – Šablona Azure Resource Manageru (ARM)
Tuto metodu použijte pro automatizované nasazení cloudového konektoru Fortinet FortiNDR.
Klikněte níže na tlačítko Nasadit do Azure .
Vyberte upřednostňované předplatné, skupinu prostředků a umístění.
Zadejte ID pracovního prostoru, klíč pracovního prostoru, AwsAccessKeyId, AwsSecretAccessKey a/nebo Jiná povinná pole.
Kliknutím na Vytvořit nasadíte.
Možnost 2 – Ruční nasazení služby Azure Functions
Pomocí následujících podrobných pokynů nasaďte cloudový konektor Fortinet FortiNDR ručně pomocí azure Functions (nasazení přes Visual Studio Code).
Další kroky
Další informace najdete v souvisejícím řešení na Azure Marketplace.