Connector „Fortinet FortiNDR Cloud (mit Azure Functions)“ für Microsoft Sentinel
Mit dem Datenkonnektor „Fortinet FortiNDR Cloud“ können Daten aus Fortinet FortiNDR Cloud mithilfe der FortiNDR Cloud-API in Microsoft Sentinel erfasst werden.
Dieser Inhalt wurde automatisch generiert. Wenden Sie sich im Zusammenhang mit Änderungen an den Lösungsanbieter.
Connectorattribute
Connectorattribut | BESCHREIBUNG |
---|---|
Kusto-Funktionsalias | Fortinet_FortiNDR_Cloud |
URL der Kusto-Funktion | https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/Fortinet%20FortiNDR%20Cloud/Parsers/Fortinet_FortiNDR_Cloud.md |
Log Analytics-Tabellen | FncEventsSuricata_CL FncEventsObservation_CL FncEventsDetections_CL |
Unterstützung für Datensammlungsregeln | Derzeit nicht unterstützt |
Unterstützt von | Fortinet |
Abfragebeispiele
Fortinet FortiNDR Cloud: Suricata-Protokolle
FncEventsSuricata_CL
| sort by TimeGenerated desc
Fortinet FortiNDR Cloud: Beobachtungsprotokolle
FncEventsObservation_CL
| sort by TimeGenerated desc
Fortinet FortiNDR Cloud: Erkennungsprotokolle
FncEventsDetections_CL
| sort by TimeGenerated desc
Voraussetzungen
Stellen Sie für die Integration in Fortinet FortiNDR Cloud (mit Azure Functions) sicher, dass Sie über Folgendes verfügen:
- Microsoft.Web/sites-Berechtigungen: Lese- und Schreibberechtigungen für Azure Functions zum Erstellen einer Funktions-App sind erforderlich. Weitere Informationen zu Azure Functions finden Sie in der Dokumentation.
- Anmeldeinformationen für MetaStream: Zum Abrufen von Ereignisdaten sind die ID des AWS-Zugriffsschlüssels, das Geheimnis für den AWS-Zugriffsschlüssel und der FortiNDR Cloud-Kontocode erforderlich.
- API-Anmeldeinformationen: Zum Abrufen von Erkennungsdaten sind das FortiNDR Cloud-API-Token und die FortiNDR Cloud-Konto-UUID erforderlich.
Installationsanweisungen des Anbieters
Hinweis
Dieser Konnektor verwendet Azure Functions, um eine Verbindung mit der FortiNDR Cloud-API herzustellen und Protokolle in Microsoft Sentinel zu pullen. Dies kann zusätzliche Datenerfassungskosten verursachen. Ausführliche Informationen finden Sie auf der Seite mit der Preisübersicht von Azure Functions.
Optionaler Schritt Speichern Sie Arbeitsbereichs- und API-Autorisierungsschlüssel oder -token sicher in Azure Key Vault. Azure Key Vault bietet einen sicheren Mechanismus zum Speichern und Abrufen von Schlüsselwerten. Befolgen Sie diese Anweisungen, um Azure Key Vault mit einer Azure-Funktions-App zu verwenden.
Hinweis
Dieser Connector verwendet einen Parser, der auf einer Kusto-Funktion basiert, um Felder zu normalisieren. Führen Sie diese Schritte aus, um den Kusto-Funktionsalias Fortinet_FortiNDR_Cloud zu erstellen.
SCHRITT 1: Konfigurationsschritte für die Sammlung von Fortinet FortiNDR Cloud-Protokollen
Der Anbieter muss ausführliche Schritte zum Konfigurieren des Endpunkts für die API „ANBIETERNAME ANWENDUNGSNAME“ (oder einen Link zu entsprechenden Schritten) bereitstellen, damit die Azure-Funktion sich dort erfolgreich authentifizieren, den Autorisierungsschlüssel oder das Autorisierungstoken abrufen und die Protokolle der Appliance in Microsoft Sentinel pullen kann.
SCHRITT 2: Wählen Sie EINE der folgenden beiden Bereitstellungsoptionen aus, um den Connector und die zugehörige Azure-Funktion bereitzustellen
WICHTIG: Halten Sie vor der Bereitstellung des Fortinet FortiNDR Cloud-Konnektors die folgenden Informationen bereit: Arbeitsbereich-ID und Primärschlüssel des Arbeitsbereichs (können im Folgenden kopiert werden) sowie die FortiNDR Cloud API-Anmeldeinformationen (verfügbar in der FortiNDR Cloud-Kontoverwaltung).
Option 1: Azure Resource Manager-Vorlage (ARM)
Verwenden Sie diese Methode für die automatisierte Bereitstellung des Fortinet FortiNDR Cloud-Connectors.
Klicken Sie unten auf die Schaltfläche In Azure bereitstellen.
Wählen Sie die bevorzugten Werte für Abonnement, Ressourcengruppe und Standort aus.
Geben Sie die Arbeitsbereichs-ID und den Arbeitsbereichsschlüssel sowie AwsAccessKeyId, AwsSecretAccessKey und ggf. andere erforderliche Informationen ein.
Klicken Sie zum Bereitstellen auf Erstellen.
Option 2: Manuelle Bereitstellung von Azure Functions
Verwenden Sie die folgende Schrittanleitung, um den Fortinet FortiNDR Cloud-Connector manuell mit Azure Functions bereitzustellen (Bereitstellung über Visual Studio Code):
Nächste Schritte
Weitere Informationen finden Sie in der entsprechenden Lösung im Azure Marketplace.