Udostępnij za pośrednictwem

[Przestarzałe] Fortinet za pośrednictwem starszego łącznika agenta dla usługi Microsoft Sentinel

  • Artykuł

Ważne

Zbieranie dzienników z wielu urządzeń i urządzeń jest teraz obsługiwane przez format Common Event Format (CEF) za pośrednictwem amA, dziennika systemowego za pośrednictwem usługi AMA lub dzienników niestandardowych za pośrednictwem łącznika danych AMA w usłudze Microsoft Sentinel. Aby uzyskać więcej informacji, zobacz Znajdowanie łącznika danych usługi Microsoft Sentinel.

Łącznik zapory Fortinet umożliwia łatwe łączenie dzienników fortinet z usługą Microsoft Sentinel w celu wyświetlania pulpitów nawigacyjnych, tworzenia alertów niestandardowych i ulepszania badania. Zapewnia to lepszy wgląd w sieć organizacji i zwiększa możliwości operacji zabezpieczeń.

Jest to automatycznie wygenerowana zawartość. W przypadku zmian skontaktuj się z dostawcą rozwiązania.

Atrybuty łącznika

Atrybut łącznika opis
Tabele usługi Log Analytics CommonSecurityLog (Fortinet)
Obsługa reguł zbierania danych Przekształcanie obszaru roboczego DCR
Obsługiwane przez Microsoft Corporation

Przykłady zapytań

Wszystkie dzienniki


CommonSecurityLog

| where DeviceVendor == "Fortinet"

| where DeviceProduct startswith "Fortigate"

         
| sort by TimeGenerated

Podsumowywanie według docelowego adresu IP i portu


CommonSecurityLog

| where DeviceVendor == "Fortinet"

| where DeviceProduct startswith "Fortigate"

         
| summarize count() by DestinationIP, DestinationPort, TimeGenerated​
         
| sort by TimeGenerated

Instrukcje instalacji dostawcy

1.0 Konfiguracja agenta syslog systemu Linux

Zainstaluj i skonfiguruj agenta systemu Linux w celu zbierania komunikatów dziennika systemu Common Event Format (CEF) i przekazywania ich do usługi Microsoft Sentinel.

Zwróć uwagę, że dane ze wszystkich regionów będą przechowywane w wybranym obszarze roboczym

1.1 Wybieranie lub tworzenie maszyny z systemem Linux

Wybierz lub utwórz maszynę z systemem Linux, która będzie używana przez usługę Microsoft Sentinel jako serwer proxy między rozwiązaniem zabezpieczeń a usługą Microsoft Sentinel, może znajdować się w środowisku lokalnym, na platformie Azure lub w innych chmurach.

1.2 Instalowanie modułu zbierającego CEF na maszynie z systemem Linux

Zainstaluj program Microsoft Monitoring Agent na maszynie z systemem Linux i skonfiguruj maszynę do nasłuchiwania na wymaganym porcie i przekazywania komunikatów do obszaru roboczego usługi Microsoft Sentinel. Moduł zbierający CEF zbiera komunikaty CEF na porcie 514 TCP.

  1. Upewnij się, że na maszynie jest używany język Python, używając następującego polecenia: python --version.

  2. Musisz mieć uprawnienia z podwyższonym poziomem uprawnień (sudo) na maszynie.

    Uruchom następujące polecenie, aby zainstalować i zastosować moduł zbierający CEF:

    sudo wget -O cef_installer.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/CEF/cef_installer.py &&sudo python cef_installer.py {0} {1}

  3. Przekazywanie dzienników fortinet do agenta usługi Syslog

Ustaw wartość Fortinet, aby wysyłać komunikaty dziennika systemowego w formacie CEF do maszyny proxy. Upewnij się, że dzienniki są wysyłane do portu 514 TCP na adres IP maszyny.

Skopiuj poniższe polecenia interfejsu wiersza polecenia i:

  • Zastąp ciąg "adres> IP serwera<" adresem IP agenta usługi Syslog.
  • Ustaw wartość "<facility_name>", aby użyć obiektu skonfigurowanego w agencie syslogu (domyślnie agent ustawia go na wartość local4).
  • Ustaw port dziennika systemowego na 514, a port używany przez agenta.
  • Aby włączyć format CEF we wczesnych wersjach fortiOS, może być konieczne uruchomienie polecenia "set csv disable".

Aby uzyskać więcej informacji, przejdź do biblioteki dokumentów Fortinet, wybierz swoją wersję i użyj plików PDF "Podręcznik" i "Dokumentacja komunikatów dziennika".

Dowiedz się więcej

Skonfiguruj połączenie przy użyciu interfejsu wiersza polecenia, aby uruchomić następujące polecenia:

config log syslogd setting
    set status enable
set format cef
set port 514
set server <ip_address_of_Receiver>
end

1.3 Weryfikowanie połączenia

Postępuj zgodnie z instrukcjami, aby zweryfikować łączność:

Otwórz usługę Log Analytics, aby sprawdzić, czy dzienniki są odbierane przy użyciu schematu CommonSecurityLog.

Przesyłanie strumieniowe danych połączenia do obszaru roboczego może potrwać około 20 minut.

Jeśli dzienniki nie zostaną odebrane, uruchom następujący skrypt weryfikacji łączności:

  1. Upewnij się, że na maszynie jest używany język Python, używając następującego polecenia: python --version

  2. Musisz mieć uprawnienia z podwyższonym poziomem uprawnień (sudo) na maszynie

    Uruchom następujące polecenie, aby zweryfikować łączność:

    sudo wget -O cef_troubleshoot.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/CEF/cef_troubleshoot.py &&sudo python cef_troubleshoot.py {0}

  3. Zabezpieczanie maszyny

Upewnij się, że skonfigurować zabezpieczenia maszyny zgodnie z zasadami zabezpieczeń organizacji

Dowiedz się więcej

Następne kroki

Aby uzyskać więcej informacji, przejdź do powiązanego rozwiązania w witrynie Azure Marketplace.