Microsoft Sentinel 用 Fortinet コネクタ

  • [アーティクル]

Fortinet ファイアウォール コネクタを使うと、Fortinet のログを Microsoft Sentinel と簡単に接続し、ダッシュボードの表示、カスタム アラートの作成、調査の改善を行うことができます。 これにより、組織のネットワークに関するより詳細な分析情報が得られ、セキュリティ運用機能が向上します。

コネクタの属性

コネクタ属性 説明
Log Analytics テーブル CommonSecurityLog (Fortinet)
データ収集ルールのサポート ワークスペース変換 DCR
サポートしているもの Microsoft Corporation

クエリのサンプル

すべてのログ


CommonSecurityLog

| where DeviceVendor == "Fortinet"

| where DeviceProduct startswith "Fortigate"

         
| sort by TimeGenerated

宛先 IP とポートごとに集計


CommonSecurityLog

| where DeviceVendor == "Fortinet"

| where DeviceProduct startswith "Fortigate"

         
| summarize count() by DestinationIP, DestinationPort, TimeGenerated​
         
| sort by TimeGenerated

ベンダーのインストール手順

  1. Linux Syslog エージェントの構成

Linux エージェントをインストールし、Common Event Format (CEF) Syslog メッセージを収集して Microsoft Sentinel に転送するようにエージェントを構成します。

すべてのリージョンのデータが選択したワークスペースに格納されることに注目してください

1.1 Linux コンピューターを選択または作成する

Microsoft Sentinel によって、セキュリティ ソリューションと Microsoft Sentinel の間のプロキシとして使用される Linux コンピューターを選択または作成します。このコンピューターは、オンプレミス環境、Azure またはその他のクラウド上に配置することができます。

1.2 Linux コンピューターに CEF コレクターをインストールする

Linux コンピューターに Microsoft Monitoring Agent をインストールし、必要なポートでリッスンして Microsoft Sentinel ワークスペースにメッセージを転送するようにコンピューターを構成します。 CEF コレクターにより、ポート 514 TCP で CEF メッセージが収集されます。

  1. コマンド python --version を使用して、コンピューターに Python がインストールされていることを確認します。
  1. マシンに対する管理者特権のアクセス許可 (sudo) が必要です。

次のコマンドを実行し、CEF コレクターをインストールして適用します。

sudo wget -O cef_installer.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/CEF/cef_installer.py &&sudo python cef_installer.py {0} {1}
  1. Fortinet のログを Syslog エージェントに転送する

Syslog メッセージを CEF 形式でプロキシ マシンに送信するように、Fortinet を設定します。 必ず、そのマシンの IP アドレスのポート 514 TCP にログを送信するようにしてください。

次の CLI コマンドをコピーして、以下のようにします。

  • "server <ip address>" を Syslog エージェントの IP アドレスに置き換えます。
  • "<facility_name>" を、Syslog エージェントで構成したファシリティを使うように設定します (既定では、エージェントはこれを local4 に設定します)。
  • Syslog ポートを、エージェントが使用するポート 514 に設定します。
  • FortiOS の初期のバージョンで CEF 形式を有効にするには、コマンド "set csv disable" を実行することが必要な場合があります。

詳しくは、Fortinet のドキュメント ライブラリにアクセスし、お使いのバージョンを選んで、"Handbook" と "Log Message Reference" の PDF をご覧ください。

詳細情報 >

CLI を使用して接続をセットアップし、次のコマンドを実行します。

config log syslogd setting set status enable set format cef set port 514 set server <ip_address_of_Receiver> end

  1. 接続の検証

手順に従って接続を検証します。

Log Analytics を開き、CommonSecurityLog スキーマを使用してログが受信されているかどうかを確認します。

接続によってデータがワークスペースにストリーミングされるまで約 20 分かかる場合があります。

ログが受信されない場合は、次の接続検証スクリプトを実行します。

  1. コマンド python --version を使用して、コンピューターに Python がインストールされていることを確認します
  1. コンピューターに対する管理者特権のアクセス許可 (sudo) が必要です

次のコマンドを実行して、接続を検証します。

sudo wget -O cef_troubleshoot.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/CEF/cef_troubleshoot.py &&sudo python cef_troubleshoot.py  {0}
  1. コンピューターをセキュリティで保護する

必ず、組織のセキュリティ ポリシーに従ってコンピューターのセキュリティを構成してください

詳細情報 >

次の手順

詳細については、Azure Marketplace の関連ソリューションに関するページを参照してください。