Connettore Fortinet FortiWeb Web application firewall per Microsoft Sentinel
Il connettore dati fortiweb offre la possibilità di inserire Analisi delle minacce ed eventi in Microsoft Sentinel.
Attributi del connettore
Attributo del connettore | Descrizione |
---|---|
Tabelle log Analytics | CommonSecurityLog (Fortiweb) |
Supporto delle regole di raccolta dati | Trasformazione dell'area di lavoro DCR |
Supportato da | Microsoft Corporation |
Esempi di query
Primi 10 minacce
Fortiweb
| where isnotempty(EventType)
| summarize count() by EventType
| top 10 by count_
Istruzioni per l'installazione del fornitore
- Configurazione dell'agente Syslog Linux
Installare e configurare l'agente Linux per raccogliere i messaggi Syslog (Common Event Format) e inoltrarli a Microsoft Sentinel.
Si noti che i dati di tutte le aree verranno archiviati nell'area di lavoro selezionata
1.1 Selezionare o creare un computer Linux
Selezionare o creare un computer Linux che Microsoft Sentinel userà come proxy tra la soluzione di sicurezza e Microsoft Sentinel questo computer può trovarsi nell'ambiente locale, in Azure o in altri cloud.
1.2 Installare l'agente di raccolta CEF nel computer Linux
Installare Microsoft Monitoring Agent nel computer Linux e configurare il computer per ascoltare la porta necessaria e inoltrare i messaggi all'area di lavoro di Microsoft Sentinel. L'agente di raccolta CEF raccoglie messaggi CEF sulla porta 514 TCP.
- Assicurarsi di avere Python nel computer usando il comando seguente: python -version.
- È necessario disporre di autorizzazioni elevate (sudo) nel computer.
Eseguire il comando seguente per installare e applicare l'agente di raccolta CEF:
sudo wget -O cef_installer.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/CEF/cef_installer.py&&sudo python cef_installer.py {0} {1}
- Inoltrare i log di Common Event Format (CEF) all'agente Syslog
Impostare la soluzione di sicurezza per inviare messaggi Syslog nel formato CEF al computer proxy. Assicurarsi di inviare i log alla porta 514 TCP nell'indirizzo IP del computer.
- Convalidare la connessione
Seguire le istruzioni per convalidare la connettività:
Aprire Log Analytics per verificare se i log vengono ricevuti usando lo schema CommonSecurityLog.
Potrebbero essere necessari circa 20 minuti fino a quando i dati dei flussi di connessione all'area di lavoro.
Se i log non vengono ricevuti, eseguire lo script di convalida della connettività seguente:
- Assicurarsi di avere Python nel computer usando il comando seguente: python -version
- È necessario disporre di autorizzazioni elevate (sudo) nel computer
Eseguire il comando seguente per convalidare la connettività:
sudo wget -O cef_troubleshoot.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/CEF/cef_troubleshoot.py&&sudo python cef_troubleshoot.py {0}
- Proteggere il computer
Assicurarsi di configurare la sicurezza del computer in base ai criteri di sicurezza dell'organizzazione
Passaggi successivi
Per altre informazioni, passare alla soluzione correlata nel Azure Marketplace.