Connecteur Fortinet FortiNDR Cloud (en utilisant Azure Functions) pour Microsoft Sentinel
Le connecteur de données Fortinet FortiNDR Cloud offre la possibilité d’ingérer des données Fortinet FortiNDR Cloud dans Microsoft Sentinel à l’aide de l’API FortiNDR Cloud.
Ce contenu est généré automatiquement. Pour toute modification, contactez le fournisseur de la solution.
Attributs du connecteur
Attribut du connecteur | Description |
---|---|
Alias de fonction Kusto | Fortinet_FortiNDR_Cloud |
URL de fonction Kusto | https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/Fortinet%20FortiNDR%20Cloud/Parsers/Fortinet_FortiNDR_Cloud.md |
Table(s) Log Analytics | FncEventsSuricata_CL FncEventsObservation_CL FncEventsDetections_CL |
Support des Règles de collecte de données | Non prise en charge pour le moment |
Pris en charge par | Fortinet |
Exemples de requête
Journaux Suricata Fortinet FortiNDR Cloud
FncEventsSuricata_CL
| sort by TimeGenerated desc
Journaux d’observation Fortinet FortiNDR Cloud
FncEventsObservation_CL
| sort by TimeGenerated desc
Journaux des détections Fortinet FortiNDR Cloud
FncEventsDetections_CL
| sort by TimeGenerated desc
Prérequis
Pour intégrer Fortinet FortiNDR Cloud (en utilisant Azure Functions), vérifiez que vous disposez des éléments suivants :
- Autorisations Microsoft.Web/sites : Autorisations d’accès en lecture et en écriture à Azure Functions pour créer une application de fonction requises. Consultez la documentation pour en savoir plus sur Azure Functions.
- Informations d’identification MetaStream : l’ID de clé d’accès AWS, la Clé d’accès secrète AWS et le Code de compte FortiNDR Cloud sont requis pour récupérer des données d’événement.
- Informations d’identification d’API : le Jeton d’API FortiNDR Cloud et l’UUID du compte FortiNDR Cloud sont requis pour récupérer les données de détection.
Instructions d’installation du fournisseur
Remarque
Ce connecteur utilise Azure Functions pour se connecter à l’API FortiNDR Cloud et ainsi extraire les journaux dans Microsoft Sentinel. Cela risque de générer des coûts supplémentaires d’ingestion des données. Si vous souhaitez en savoir plus, veuillez consulter la page des tarifs d’Azure Functions.
(Étape facultative) Stockez en toute sécurité les clés ou les jetons d’autorisation de l’espace de travail et de l’API dans Azure Key Vault. Azure Key Vault fournit un mécanisme sécurisé pour stocker et récupérer des valeurs de clés. Suivez ces instructions pour utiliser Azure Key Vault avec une application Azure Function.
Notes
Ce connecteur utilise un analyseur basé sur une fonction Kusto pour normaliser les champs. Procédez comme suit pour créer l’alias de la fonction Kusto Fortinet_FortiNDR_Cloud.
Étape 1 : configuration des étapes pour la collection de journaux Fortinet FortiNDR Cloud
Le fournisseur doit spécifier les étapes détaillées (ou effectuer une liaison) pour configurer le point de terminaison de l’API « PROVIDER NAME APPLICATION NAME » afin que la fonction Azure puisse s’y authentifier correctement, obtenir sa clé ou son jeton d’autorisation et extraire les journaux de l’appliance dans Microsoft Sentinel.
ÉTAPE 2 - Choisissez UNE des deux options de déploiement suivantes pour déployer le connecteur et la fonction Azure associée
IMPORTANT : Avant le déploiement du connecteur Fortinet FortiNDR Cloud, vous devez avoir à disposition l’ID d’espace de travail et la clé primaire d’espace de travail (vous pouvez les copier à partir des éléments suivants), ainsi que les informations d’identification d’API FortiNDR Cloud (disponibles dans la gestion de compte FortiNDR Cloud).
Option 1 – Modèle Azure Resource Manager (ARM)
Utilisez cette méthode pour le déploiement automatisé du connecteur Fortinet FortiNDR Cloud.
Cliquez sur le bouton Déployer sur Azure ci-dessous.
Sélectionnez votre abonnement, votre groupe de ressources, puis votre emplacement préférés.
Saisissez l'ID d’espace de travail, la Clé d’espace de travail, AwsAccessKeyId, AwsSecretAccessKey « et/ou les autres champs obligatoires ».
Cliquez sur Créer pour déployer.
Option 2 - Déploiement manuel de fonctions Azure
Utilisez les instructions détaillées suivantes pour déployer manuellement le connecteur de données Fortinet FortiNDR Cloud avec Azure Functions (déploiement via Visual Studio Code).
Étapes suivantes
Pour plus d’informations, accédez à la solution associée dans la Place de marché Azure.