Konektor Fortinet FortiNDR Cloud (menggunakan Azure Functions) untuk Microsoft Sentinel
Konektor data Fortinet FortiNDR Cloud menyediakan kemampuan untuk menyerap data Fortinet FortiNDR Cloud ke Microsoft Azure Sentinel menggunakan FortiNDR Cloud API
Ini adalah konten yang dibuat secara otomatis. Untuk perubahan, hubungi penyedia solusi.
atribut Koneksi or
| Atribut konektor | Deskripsi |
|---|---|
| Alias fungsi Kusto | Fortinet_FortiNDR_Cloud |
| Url fungsi Kusto | https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/Fortinet%20FortiNDR%20Cloud/Parsers/Fortinet_FortiNDR_Cloud.md |
| Tabel Log Analytics | FncEventsSuricata_CL FncEventsObservation_CL FncEventsDetections_CL |
| Dukungan aturan pengumpulan data | Saat ini tidak didukung |
| Didukung oleh | Fortinet |
Kueri sampel
Fortinet FortiNDR Cloud Suricata Logs
FncEventsSuricata_CL
| sort by TimeGenerated desc
Log Pengamatan Cloud Fortinet FortiNDR
FncEventsObservation_CL
| sort by TimeGenerated desc
Log Deteksi Cloud Fortinet FortiNDR
FncEventsDetections_CL
| sort by TimeGenerated desc
Prasyarat
Untuk berintegrasi dengan Fortinet FortiNDR Cloud (menggunakan Azure Functions) pastikan Anda memiliki:
- Izin Microsoft.Web/sites: Izin baca dan tulis ke Azure Functions untuk membuat Aplikasi Fungsi diperlukan. Lihat dokumentasi untuk mempelajari selengkapnya tentang Azure Functions.
- Kredensial MetaStream: ID Kunci Akses AWS, Kunci Akses Rahasia AWS, Kode Akun Cloud FortiNDR diperlukan untuk mengambil data peristiwa.
- Kredensial API: Token API Cloud FortiNDR, UUID Akun Cloud FortiNDR diperlukan untuk mengambil data deteksi.
Instruksi penginstalan vendor
Catatan
Konektor ini menggunakan Azure Functions untuk menyambungkan ke FortiNDR Cloud API untuk menarik log ke Microsoft Sentinel. Ini dapat mengakibatkan biaya penyerapan data tambahan. Periksa halaman Harga Azure Functions untuk detailnya.
(Langkah Opsional) Simpan ruang kerja dan kunci otorisasi API atau token dengan aman di Azure Key Vault. Azure Key Vault menyediakan mekanisme yang aman untuk menyimpan dan mengambil nilai kunci. Ikuti petunjuk ini untuk menggunakan Azure Key Vault dengan Azure Function App.
Catatan
Konektor ini menggunakan pengurai berdasarkan Fungsi Kusto untuk menormalkan bidang. Ikuti langkah-langkah ini untuk membuat alias fungsi Kusto Fortinet_FortiNDR_Cloud.
LANGKAH 1 - Langkah-langkah konfigurasi untuk Koleksi Log Cloud Fortinet FortiNDR
Penyedia harus menyediakan atau menautkan ke langkah-langkah terperinci untuk mengonfigurasi titik akhir API 'NAMA NAMA PENYEDIA' sehingga Fungsi Azure dapat mengautentikasinya dengan sukses, mendapatkan kunci atau token otorisasinya, dan menarik log appliance ke Microsoft Sentinel.
LANGKAH 2 - Pilih ONE dari dua opsi penyebaran berikut untuk menyebarkan konektor dan Fungsi Azure terkait
PENTING: Sebelum menyebarkan konektor Fortinet FortiNDR Cloud, miliki ID Ruang Kerja dan Kunci Primer Ruang Kerja (dapat disalin dari yang berikut), serta kredensial FortiNDR Cloud API (tersedia di manajemen akun FortiNDR Cloud), tersedia dengan mudah.
Opsi 1 - Templat Azure Resource Manager (ARM)
Gunakan metode ini untuk penyebaran otomatis konektor Fortinet FortiNDR Cloud.
Klik tombol Sebarkan ke Azure di bawah ini.
Pilih Langganan, Grup Sumber Daya, dan Lokasi pilihan.
Masukkan ID Ruang Kerja, Kunci Ruang Kerja, AwsAccessKeyId, AwsSecretAccessKey, dan/atau Bidang lain yang diperlukan.
Klik Buat untuk menyebarkan.
Opsi 2 - Penyebaran Manual Azure Functions
Gunakan instruksi langkah demi langkah berikut untuk menyebarkan konektor Fortinet FortiNDR Cloud secara manual dengan Azure Functions (Penyebaran melalui Visual Studio Code).
Langkah berikutnya
Untuk informasi selengkapnya, buka solusi terkait di Marketplace Azure.
Saran dan Komentar
Segera hadir: Sepanjang tahun 2024 kami akan menghentikan penggunaan GitHub Issues sebagai mekanisme umpan balik untuk konten dan menggantinya dengan sistem umpan balik baru. Untuk mengetahui informasi selengkapnya, lihat: https://aka.ms/ContentUserFeedback.
Kirim dan lihat umpan balik untuk