Connecteur Fortinet pour Microsoft Sentinel
Le connecteur de pare-feu Fortinet vous permet de connecter facilement vos journaux Fortinet à Microsoft Sentinel, d’afficher des tableaux de bord, de créer des alertes personnalisées et d’améliorer les investigations. Cela vous donne plus d’informations sur le réseau de votre organisation et améliore vos capacités d’opération de sécurité.
Attributs du connecteur
| Attribut du connecteur | Description |
|---|---|
| Table(s) Log Analytics | CommonSecurityLog (Fortinet) |
| Prise en charge des règles de collecte de données | Règles de collecte de données pour la transformation de l’espace de travail |
| Pris en charge par | Microsoft Corporation |
Exemples de requête
Tous les journaux d’activité
CommonSecurityLog
| where DeviceVendor == "Fortinet"
| where DeviceProduct startswith "Fortigate"
| sort by TimeGenerated
Résumer par port et adresse IP de destination
CommonSecurityLog
| where DeviceVendor == "Fortinet"
| where DeviceProduct startswith "Fortigate"
| summarize count() by DestinationIP, DestinationPort, TimeGenerated
| sort by TimeGenerated
Instructions d’installation du fournisseur
- Configuration de l’agent Syslog Linux
Installez et configurez l’agent Linux pour collecter vos messages Syslog au format CEF (Common Event Format) et les transférer à Microsoft Sentinel.
Notez que les données de toutes les régions seront stockées dans l’espace de travail sélectionné
1.1 Sélectionner ou créer une machine Linux
Sélectionnez ou créez une machine Linux qui sera utilisée par Microsoft Sentinel comme proxy entre votre solution de sécurité et Microsoft Sentinel. Cette machine peut se trouver dans votre environnement local, dans Azure ou dans d’autres clouds.
1.2 Installer le collecteur CEF sur la machine Linux
Installez Microsoft Monitoring Agent sur votre ordinateur Linux et configurez l’ordinateur pour écouter sur le port nécessaire et transférer les messages vers votre espace de travail Microsoft Sentinel. Le collecteur CEF collecte les messages CEF sur le port 514 TCP.
- Vérifiez que Python est installé sur votre ordinateur à l’aide de la commande suivante : python --version.
- Vous devez disposer d’autorisations élevées (sudo) sur votre machine.
Exécutez la commande suivante pour installer et appliquer le collecteur CEF :
sudo wget -O cef_installer.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/CEF/cef_installer.py &&sudo python cef_installer.py {0} {1}
- Transférer les journaux Fortinet à l’agent Syslog
Configurez votre Fortinet de sorte à pouvoir envoyer des messages Syslog au format CEF à la machine proxy. Veillez à envoyer les journaux au port TCP 514 à l’adresse IP de la machine.
Copiez les commandes CLI ci-dessous et :
- Remplacez « adresse <ip du serveur> » par l’adresse IP de l’agent Syslog.
- Définissez « <nom_installation> » sur celle que vous avez configurée dans l’agent Syslog (par défaut, l’agent définit cette valeur sur local4).
- Définissez le port Syslog sur 514, le port utilisé par votre agent.
- Pour activer le format CEF dans les premières versions de FortiOS, vous devez peut-être exécuter le jeu de commandes « csv disable ».
Pour plus d’informations, accédez à la bibliothèque de documents Fortinet, choisissez votre version et utilisez les PDF du manuel d’utilisation (« Handbook ») et de la référence des messages de journaux (« Log Message Reference »).
Configurez la connexion à l’aide de l’interface CLI pour exécuter les commandes suivantes :
config log syslogd setting set status enable set format cef set port 514 set server <addresse_ip_du_Destinataire> end
- Valider la connexion
Suivez les instructions pour valider votre connectivité :
Ouvrez Log Analytics pour vous assurer que les journaux sont reçus à l’aide du schéma CommonSecurityLog.
Il faut environ 20 minutes pour que la connexion diffuse des données dans votre espace de travail.
Si les journaux ne sont pas reçus, exécutez le script de validation de connectivité suivant :
- Vérifiez que Python est installé sur votre ordinateur à l’aide de la commande suivante : python --version
- Vous devez disposer d’autorisations élevées (sudo) sur votre machine
Exécutez la commande suivante pour valider votre connectivité :
sudo wget -O cef_troubleshoot.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/CEF/cef_troubleshoot.py &&sudo python cef_troubleshoot.py {0}
- Sécuriser votre machine
Veillez à configurer la sécurité de la machine en fonction de la stratégie de sécurité de votre organisation
Étapes suivantes
Pour plus d’informations, accédez à la solution associée dans la Place de marché Azure.