Sdílet prostřednictvím


Konektor Fortinet FortiNDR Cloud (pomocí Azure Functions) pro Microsoft Sentinel

Datový konektor Fortinet FortiNDR Cloud poskytuje možnost ingestovat data cloudu Fortinet FortiNDR do Microsoft Sentinelu pomocí cloudového rozhraní API fortiNDR.

Jedná se o automaticky vygenerovaný obsah. Pokud potřebujete změny, obraťte se na poskytovatele řešení.

atributy Připojení oru

atribut Připojení or Popis
Alias funkce Kusto Fortinet_FortiNDR_Cloud
Adresa URL funkce Kusto https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/Fortinet%20FortiNDR%20Cloud/Parsers/Fortinet_FortiNDR_Cloud.md
Tabulky Log Analytics FncEventsSuricata_CL
FncEventsObservation_CL
FncEventsDetections_CL
Podpora pravidel shromažďování dat V současnosti není podporováno
Podporováno Fortinet

Ukázky dotazů

Protokoly Fortinet FortiNDR Cloud Suricata

FncEventsSuricata_CL

| sort by TimeGenerated desc

Fortinet FortiNDR – protokoly pozorování cloudu

FncEventsObservation_CL

| sort by TimeGenerated desc

Protokoly detekce cloudu Fortinet FortiNDR

FncEventsDetections_CL

| sort by TimeGenerated desc

Požadavky

Pokud chcete provést integraci s cloudem Fortinet FortiNDR (pomocí Azure Functions), ujistěte se, že máte:

  • Oprávnění Microsoft.Web/sites: Vyžaduje se oprávnění ke čtení a zápisu do Azure Functions k vytvoření aplikace funkcí. Další informace o službě Azure Functions najdete v dokumentaci.
  • Přihlašovací údaje metastreamu: K načtení dat událostí se vyžaduje ID přístupového klíče AWS, tajný přístupový klíč AWS, kód cloudového účtu FortiNDR.
  • Přihlašovací údaje rozhraní API: Token cloudového rozhraní API FortiNDR, UUID cloudového účtu FortiNDR se vyžaduje k načtení dat detekce.

Pokyny k instalaci dodavatele

Poznámka:

Tento konektor používá Azure Functions k připojení k cloudovému rozhraní API FortiNDR k načtení protokolů do Microsoft Sentinelu. To může vést k dalším nákladům na příjem dat. Podrobnosti najdete na stránce s cenami služby Azure Functions.

(Volitelný krok) Bezpečně ukládejte pracovní prostor a autorizační klíče rozhraní API nebo tokeny ve službě Azure Key Vault. Azure Key Vault poskytuje zabezpečený mechanismus pro ukládání a načítání hodnot klíčů. Postupujte podle těchto pokynů k používání služby Azure Key Vault s aplikací funkcí Azure.

Poznámka:

Tento konektor používá analyzátor založený na funkci Kusto k normalizaci polí. Pomocí následujícího postupu vytvořte alias funkce Kusto Fortinet_FortiNDR_Cloud.

KROK 1 : Kroky konfigurace pro kolekci cloudových protokolů Fortinet FortiNDR

Poskytovatel by měl poskytnout nebo propojit podrobné kroky ke konfiguraci koncového bodu rozhraní API PROVIDER NAME APPLICATION NAME, aby se služba Azure Functions mohla úspěšně ověřit, získat autorizační klíč nebo token a načíst protokoly zařízení do Služby Microsoft Sentinel.

KROK 2: V následujících dvou možnostech nasazení vyberte jednu z následujících dvou možností nasazení pro nasazení konektoru a přidružené funkce Azure Functions.

DŮLEŽITÉ: Před nasazením cloudového konektoru Fortinet FortiNDR požádejte o ID pracovního prostoru a primární klíč pracovního prostoru (můžete ho zkopírovat z následujícího) a také přihlašovací údaje rozhraní FortiNDR Cloud API (dostupné ve správě cloudového účtu FortiNDR), které jsou snadno dostupné.

Možnost 1 – Šablona Azure Resource Manageru (ARM)

Tuto metodu použijte pro automatizované nasazení cloudového konektoru Fortinet FortiNDR.

  1. Klikněte níže na tlačítko Nasadit do Azure .

    Nasadit do Azure

  2. Vyberte upřednostňované předplatné, skupinu prostředků a umístění.

  3. Zadejte ID pracovního prostoru, klíč pracovního prostoru, AwsAccessKeyId, AwsSecretAccessKey a/nebo Jiná povinná pole.

  4. Kliknutím na Vytvořit nasadíte.

Možnost 2 – Ruční nasazení služby Azure Functions

Pomocí následujících podrobných pokynů nasaďte cloudový konektor Fortinet FortiNDR ručně pomocí azure Functions (nasazení přes Visual Studio Code).

Další kroky

Další informace najdete v souvisejícím řešení na Azure Marketplace.