Connector „Fortinet FortiNDR Cloud (mit Azure Functions)“ für Microsoft Sentinel
Der Datenconnector „Fortinet FortiNDR Cloud“ bietet die Möglichkeit, in Amazon S3 gespeicherte Ereignisse vom Typ Fortinet FortiNDR Cloud über die Amazon S3-REST-API in Microsoft Sentinel zu erfassen.
Dieser Inhalt wurde automatisch generiert. Wenden Sie sich im Zusammenhang mit Änderungen an den Lösungsanbieter.
Connectorattribute
| Connectorattribut | BESCHREIBUNG |
|---|---|
| Kusto-Funktionsalias | Fortinet_FortiNDR_Cloud |
| URL der Kusto-Funktion | https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/Fortinet%20FortiNDR%20Cloud/Parsers/Fortinet_FortiNDR_Cloud.md |
| Log Analytics-Tabellen | FncEventsSuricata_CL FncEventsObservation_CL FncEventsDetections_CL |
| Unterstützung für Datensammlungsregeln | Derzeit nicht unterstützt |
| Unterstützt von | Fortinet |
Abfragebeispiele
Fortinet FortiNDR Cloud: Suricata-Protokolle
FncEventsSuricata_CL
| sort by TimeGenerated desc
Fortinet FortiNDR Cloud: Beobachtungsprotokolle
FncEventsObservation_CL
| sort by TimeGenerated desc
Fortinet FortiNDR Cloud: Erkennungsprotokolle
FncEventsDetections_CL
| sort by TimeGenerated desc
Voraussetzungen
Stellen Sie für die Integration in Fortinet FortiNDR Cloud (mit Azure Functions) sicher, dass Sie über Folgendes verfügen:
- Microsoft.Web/sites-Berechtigungen: Lese- und Schreibberechtigungen für Azure Functions zum Erstellen einer Funktions-App sind erforderlich. Weitere Informationen zu Azure Functions finden Sie in der Dokumentation.
- Anmeldeinformationen/Berechtigungen für MetaStream: Zum Abrufen von Ereignisdaten sind die ID des AWS-Zugriffsschlüssels, das Geheimnis für den AWS-Zugriffsschlüssel und der FortiNDR Cloud-Kontocode erforderlich.
Installationsanweisungen des Anbieters
Hinweis
Dieser Connector stellt über Azure Functions eine Verbindung mit der Amazon S3-REST-API her, um die zugehörigen Protokolle in Microsoft Sentinel zu pullen. Dadurch fallen ggf. zusätzliche Datenerfassungskosten an. Ausführliche Informationen finden Sie auf der Seite mit der Preisübersicht von Azure Functions.
Optionaler Schritt Speichern Sie Arbeitsbereichs- und API-Autorisierungsschlüssel oder -token sicher in Azure Key Vault. Azure Key Vault bietet einen sicheren Mechanismus zum Speichern und Abrufen von Schlüsselwerten. Befolgen Sie diese Anweisungen, um Azure Key Vault mit einer Azure-Funktions-App zu verwenden.
Hinweis
Dieser Connector verwendet einen Parser, der auf einer Kusto-Funktion basiert, um Felder zu normalisieren. Führen Sie diese Schritte aus, um den Kusto-Funktionsalias Fortinet_FortiNDR_Cloud zu erstellen.
SCHRITT 1: Konfigurationsschritte für die Sammlung von Fortinet FortiNDR Cloud-Protokollen
Der Anbieter muss ausführliche Schritte zum Konfigurieren des Endpunkts für die API „ANBIETERNAME ANWENDUNGSNAME“ (oder einen Link zu entsprechenden Schritten) bereitstellen, damit die Azure-Funktion sich dort erfolgreich authentifizieren, den Autorisierungsschlüssel oder das Autorisierungstoken abrufen und die Protokolle der Appliance in Microsoft Sentinel pullen kann.
SCHRITT 2: Wählen Sie EINE der folgenden beiden Bereitstellungsoptionen aus, um den Connector und die zugehörige Azure-Funktion bereitzustellen
WICHTIG: Halten Sie für die Bereitstellung des Fortinet FortiNDR Cloud-Connectors die Arbeitsbereichs-ID und den Primärschlüssel des Arbeitsbereichs (können im Folgenden kopiert werden) sowie die MetaStream-Anmeldeinformationen (verfügbar in der FortiNDR Cloud-Kontoverwaltung) bereit.
Option 1: Azure Resource Manager-Vorlage (ARM)
Verwenden Sie diese Methode für die automatisierte Bereitstellung des Fortinet FortiNDR Cloud-Connectors.
Klicken Sie unten auf die Schaltfläche In Azure bereitstellen.
Wählen Sie die bevorzugten Werte für Abonnement, Ressourcengruppe und Standort aus.
Geben Sie die Arbeitsbereichs-ID und den Arbeitsbereichsschlüssel sowie AwsAccessKeyId, AwsSecretAccessKey und ggf. andere erforderliche Informationen ein.
Klicken Sie zum Bereitstellen auf Erstellen.
Option 2: Manuelle Bereitstellung von Azure Functions
Verwenden Sie die folgende Schrittanleitung, um den Fortinet FortiNDR Cloud-Connector manuell mit Azure Functions bereitzustellen (Bereitstellung über Visual Studio Code):
Nächste Schritte
Weitere Informationen finden Sie in der entsprechenden Lösung im Azure Marketplace.