Connettore Fortinet per Microsoft Sentinel
Il connettore firewall Fortinet consente di connettere facilmente i log Fortinet con Microsoft Sentinel, per visualizzare i dashboard, creare avvisi personalizzati e migliorare l'analisi. Ciò offre maggiori informazioni sulla rete dell'organizzazione e migliora le funzionalità dell'operazione di sicurezza.
Attributi del connettore
Attributo del connettore | Descrizione |
---|---|
Tabelle log Analytics | CommonSecurityLog (Fortinet) |
Supporto delle regole di raccolta dati | Trasformazione dell'area di lavoro DCR |
Supportato da | Microsoft Corporation |
Esempi di query
Tutti i log
CommonSecurityLog
| where DeviceVendor == "Fortinet"
| where DeviceProduct startswith "Fortigate"
| sort by TimeGenerated
Riepilogare in base all'INDIRIZZO IP e alla porta di destinazione
CommonSecurityLog
| where DeviceVendor == "Fortinet"
| where DeviceProduct startswith "Fortigate"
| summarize count() by DestinationIP, DestinationPort, TimeGenerated
| sort by TimeGenerated
Istruzioni per l'installazione del fornitore
- Configurazione dell'agente Syslog Linux
Installare e configurare l'agente Linux per raccogliere i messaggi Syslog (Common Event Format) e inoltrarli a Microsoft Sentinel.
Si noti che i dati di tutte le aree verranno archiviati nell'area di lavoro selezionata
1.1 Selezionare o creare un computer Linux
Selezionare o creare un computer Linux che Microsoft Sentinel userà come proxy tra la soluzione di sicurezza e Microsoft Sentinel questo computer può trovarsi nell'ambiente locale, in Azure o in altri cloud.
1.2 Installare l'agente di raccolta CEF nel computer Linux
Installare Microsoft Monitoring Agent nel computer Linux e configurare il computer per ascoltare la porta necessaria e inoltrare i messaggi all'area di lavoro di Microsoft Sentinel. L'agente di raccolta CEF raccoglie messaggi CEF sulla porta 514 TCP.
- Assicurarsi di avere Python nel computer usando il comando seguente: python --version.
- È necessario disporre di autorizzazioni elevate (sudo) nel computer.
Eseguire il comando seguente per installare e applicare l'agente di raccolta CEF:
sudo wget -O cef_installer.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/CEF/cef_installer.py &&sudo python cef_installer.py {0} {1}
- Inoltrare i log fortinet all'agente Syslog
Impostare Fortinet per inviare messaggi Syslog nel formato CEF al computer proxy. Assicurarsi di inviare i log alla porta 514 TCP nell'indirizzo IP del computer.
Copiare i comandi dell'interfaccia della riga di comando seguenti e:
- Sostituire "indirizzo> IP server<" con l'indirizzo IP dell'agente Syslog.
- Impostare "<facility_name>" per usare la struttura configurata nell'agente Syslog (per impostazione predefinita, l'agente imposta questa opzione su local4).
- Impostare la porta Syslog su 514, la porta usata dall'agente.
- Per abilitare il formato CEF nelle versioni iniziali di FortiOS, potrebbe essere necessario eseguire il comando "set csv disable".
Per altre informazioni, passare alla raccolta documenti Fortinet, scegliere la versione e usare i PDF "Manuale" e "Riferimento al messaggio di log".
Configurare la connessione usando l'interfaccia della riga di comando per eseguire i comandi seguenti:
config log syslogd set status enable set set format cef set port 514 set server <ip_address_of_Receiver> end
- Convalidare la connessione
Seguire le istruzioni per convalidare la connettività:
Aprire Log Analytics per verificare se i log vengono ricevuti usando lo schema CommonSecurityLog.
Potrebbero essere necessari circa 20 minuti fino a quando i dati dei flussi di connessione all'area di lavoro.
Se i log non vengono ricevuti, eseguire lo script di convalida della connettività seguente:
- Assicurarsi di avere Python nel computer usando il comando seguente: python --version
- È necessario disporre di autorizzazioni elevate (sudo) nel computer
Eseguire il comando seguente per convalidare la connettività:
sudo wget -O cef_troubleshoot.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/CEF/cef_troubleshoot.py &&sudo python cef_troubleshoot.py {0}
- Proteggere il computer
Assicurarsi di configurare la sicurezza del computer in base ai criteri di sicurezza dell'organizzazione
Passaggi successivi
Per altre informazioni, passare alla soluzione correlata nel Azure Marketplace.