Fortinet-connector voor Microsoft Sentinel
Met de Fortinet-firewallconnector kunt u eenvoudig uw Fortinet-logboeken verbinden met Microsoft Sentinel, dashboards weergeven, aangepaste waarschuwingen maken en onderzoek verbeteren. Dit geeft u meer inzicht in het netwerk van uw organisatie en verbetert uw beveiligingsmogelijkheden.
Connectorkenmerken
Connectorkenmerk | Description |
---|---|
Log Analytics-tabel(s) | CommonSecurityLog (Fortinet) |
Ondersteuning voor regels voor gegevensverzameling | DCR voor werkruimtetransformatie |
Ondersteund door | Microsoft Corporation |
Voorbeelden van query's
Alle logboeken
CommonSecurityLog
| where DeviceVendor == "Fortinet"
| where DeviceProduct startswith "Fortigate"
| sort by TimeGenerated
Samenvatten op doel-IP en poort
CommonSecurityLog
| where DeviceVendor == "Fortinet"
| where DeviceProduct startswith "Fortigate"
| summarize count() by DestinationIP, DestinationPort, TimeGenerated​
| sort by TimeGenerated
Installatie-instructies van de leverancier
- Configuratie van Linux Syslog-agent
Installeer en configureer de Linux-agent om uw Ceflog-berichten (Common Event Format) te verzamelen en door te sturen naar Microsoft Sentinel.
U ziet dat de gegevens uit alle regio's worden opgeslagen in de geselecteerde werkruimte
1.1 Een Linux-machine selecteren of maken
Selecteer of maak een Linux-machine die Door Microsoft Sentinel wordt gebruikt als proxy tussen uw beveiligingsoplossing en Microsoft Sentinel. Deze machine kan zich in uw on-premises omgeving, Azure of andere clouds bevinden.
1.2 Installeer de CEF-collector op de Linux-computer
Installeer de Microsoft Monitoring Agent op uw Linux-computer en configureer de computer om te luisteren op de benodigde poort en berichten door te sturen naar uw Microsoft Sentinel-werkruimte. De CEF-collector verzamelt CEF-berichten op poort 514 TCP.
- Zorg ervoor dat u Python op uw computer hebt met behulp van de volgende opdracht: python --version.
- U moet verhoogde machtigingen (sudo) op uw computer hebben.
Voer de volgende opdracht uit om de CEF-collector te installeren en toe te passen:
sudo wget -O cef_installer.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/CEF/cef_installer.py &&sudo python cef_installer.py {0} {1}
- Fortinet-logboeken doorsturen naar Syslog-agent
Stel uw Fortinet in om Syslog-berichten in CEF-indeling naar de proxycomputer te verzenden. Zorg ervoor dat u de logboeken naar poort 514 TCP op het IP-adres van de machine verzendt.
Kopieer de onderstaande CLI-opdrachten en:
- Vervang het IP-adres> van de server <door het IP-adres van de Syslog-agent.
- Stel de '<facility_name>' in om de faciliteit te gebruiken die u hebt geconfigureerd in de Syslog-agent (standaard stelt de agent dit in op local4).
- Stel de Syslog-poort in op 514, de poort die uw agent gebruikt.
- Als u de CEF-indeling in eerdere FortiOS-versies wilt inschakelen, moet u mogelijk de opdracht 'csv uitschakelen instellen' uitvoeren.
Ga voor meer informatie naar de Fortinet-documentbibliotheek, kies uw versie en gebruik de PDF-bestanden 'Handbook' en 'Log Message Reference'.
Stel de verbinding in met behulp van de CLI om de volgende opdrachten uit te voeren:
config log syslogd setting set status enable set format cef set poort 514 set server <ip_address_of_Receiver> end
- Verbinding valideren
Volg de instructies om uw connectiviteit te valideren:
Open Log Analytics om te controleren of de logboeken worden ontvangen met behulp van het CommonSecurityLog-schema.
Het kan ongeveer 20 minuten duren voordat de verbinding gegevens naar uw werkruimte streamt.
Als de logboeken niet worden ontvangen, voert u het volgende verbindingsvalidatiescript uit:
- Zorg ervoor dat u Python op uw computer hebt met behulp van de volgende opdracht: python --version
- U moet verhoogde machtigingen (sudo) hebben op uw computer
Voer de volgende opdracht uit om uw connectiviteit te valideren:
sudo wget -O cef_troubleshoot.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/CEF/cef_troubleshoot.py &&sudo python cef_troubleshoot.py {0}
- Uw computer beveiligen
Zorg ervoor dat u de beveiliging van de machine configureert volgens het beveiligingsbeleid van uw organisatie
Volgende stappen
Ga voor meer informatie naar de gerelateerde oplossing in de Azure Marketplace.