Fortinet-Connector für Microsoft Sentinel
Der Fortinet-Firewallconnector ermöglicht es Ihnen, Ihre Fortinet-Protokolle auf einfache Weise mit Microsoft Sentinel zu verbinden, um Dashboards anzuzeigen, benutzerdefinierte Warnungen zu erstellen und die Untersuchung von Daten zu verbessern. So erhalten Sie einen besseren Einblick in das Netzwerk Ihrer Organisation und bessere Möglichkeiten für Sicherheitsvorgänge.
Connectorattribute
Connectorattribut | BESCHREIBUNG |
---|---|
Log Analytics-Tabellen | CommonSecurityLog (Fortinet) |
Unterstützung für Datensammlungsregeln | Transformations-DCR des Arbeitsbereichs |
Unterstützt von | Microsoft Corporation |
Abfragebeispiele
Alle Protokolle
CommonSecurityLog
| where DeviceVendor == "Fortinet"
| where DeviceProduct startswith "Fortigate"
| sort by TimeGenerated
Nach Ziel-IP und -Port zusammenfassen
CommonSecurityLog
| where DeviceVendor == "Fortinet"
| where DeviceProduct startswith "Fortigate"
| summarize count() by DestinationIP, DestinationPort, TimeGenerated
| sort by TimeGenerated
Installationsanweisungen des Anbieters
- Konfiguration des Linux-Syslog-Agents
Installieren und konfigurieren Sie den Linux-Agent, damit er Ihre Common Event Format (CEF)-Syslog-Nachrichten sammelt und an Microsoft Sentinel weiterleitet.
Beachten Sie, dass die Daten aus allen Regionen im ausgewählten Arbeitsbereich gespeichert werden
1.1 Linux-Computer auswählen oder erstellen
Wählen Sie einen Linux-Computer aus, oder erstellen Sie einen, den Microsoft Sentinel als Proxy zwischen Ihrer Sicherheitslösung und Microsoft Sentinel verwenden soll. Dieser Computer kann sich in Ihrer lokalen Umgebung, in Azure oder in anderen Clouds befinden.
1.2 CEF-Sammler auf dem Linux-Computer installieren
Installieren Sie den Microsoft Monitoring Agent auf Ihrem Linux-Computer, und konfigurieren Sie den Computer so, dass er am erforderlichen Port lauscht und Nachrichten an Ihren Microsoft Sentinel-Arbeitsbereich weiterleitet. Der CEF-Sammler sammelt CEF-Nachrichten an TCP-Port 514.
- Vergewissern Sie sich mithilfe des folgenden Befehls, dass Sie auf dem Computer über Python verfügen: python --version.
- Sie müssen über erhöhte Berechtigungen (sudo) auf dem Computer verfügen.
Führen Sie den folgenden Befehl aus, um den CEF-Collector zu installieren und anzuwenden:
sudo wget -O cef_installer.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/CEF/cef_installer.py &&sudo python cef_installer.py {0} {1}
- Weiterleiten von Fortinet-Protokollen an den Syslog-Agent
Stellen Sie Fortinet so ein, dass Syslog-Nachrichten im CEF-Format an den Proxycomputer gesendet werden. Die Protokolle müssen über TCP-Port 514 an die IP-Adresse des Computers gesendet werden.
Kopieren Sie die folgenden CLI-Befehle, und gehen Sie folgendermaßen vor:
- Ersetzen Sie „Server-<IP-Adresse>“ durch die IP-Adresse des Syslog-Agents.
- Legen Sie <facility_name> auf die Komponente fest, die Sie im Syslog-Agent konfiguriert haben (wird vom Agent standardmäßig auf „local4“ festgelegt).
- Legen Sie den Syslog-Port auf den von Ihrem Agent verwendeten Port 514 fest.
- In frühen Versionen von FortiOS muss zum Aktivieren des CEF-Formats ggf. der Befehl „set csv disable“ ausgeführt werden.
Um weitere Informationen zu erhalten, navigieren Sie zur Fortinet-Dokumentbibliothek, wählen Sie Ihre Version aus, und verwenden Sie die PDF-Dateien mit dem Handbuch und der Protokollmeldungsreferenz.
Richten Sie die Verbindung ein, indem Sie folgende Befehle über die CLI ausführen:
config log syslogd setting set status enable set format cef set port 514 set server <empfänger_ip_adresse> end
- Überprüfen der Verbindung
Folgen Sie den Anleitungen zum Überprüfen Ihrer Konnektivität:
Öffnen Sie Log Analytics, um mithilfe des CommonSecurityLog-Schemas zu überprüfen, ob die Protokolle empfangen werden.
Es kann ungefähr 20 Minuten dauern, bis die Verbindung Daten in Ihren Arbeitsbereich streamt.
Wenn die Protokolle nicht empfangen werden, führen Sie das folgende Skript für Konnektivitätsprüfung aus:
- Vergewissern Sie sich mithilfe des folgenden Befehls, dass Sie auf dem Computer über Python verfügen: python – version
- Sie müssen auf Ihrem Computer über erhöhte Berechtigungen (sudo) verfügen
Führen Sie den folgenden Befehl aus, um Ihre Konnektivität zu überprüfen:
sudo wget -O cef_troubleshoot.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/CEF/cef_troubleshoot.py &&sudo python cef_troubleshoot.py {0}
- Sichern Ihres Computers
Stellen Sie sicher, dass Sie die Sicherheit des Computers gemäß der Sicherheitsrichtlinie Ihrer Organisation konfigurieren.
Nächste Schritte
Weitere Informationen finden Sie in der entsprechenden Lösung im Azure Marketplace.