Łącznik fortinet dla usługi Microsoft Sentinel
Łącznik zapory Fortinet umożliwia łatwe łączenie dzienników fortinet z usługą Microsoft Sentinel w celu wyświetlania pulpitów nawigacyjnych, tworzenia alertów niestandardowych i ulepszania badania. Zapewnia to lepszy wgląd w sieć organizacji i zwiększa możliwości operacji zabezpieczeń.
Atrybuty łącznika
Atrybut łącznika | Opis |
---|---|
Tabele usługi Log Analytics | CommonSecurityLog (Fortinet) |
Obsługa reguł zbierania danych | Przekształcanie obszaru roboczego DCR |
Obsługiwane przez | Microsoft Corporation |
Przykłady zapytań
Wszystkie dzienniki
CommonSecurityLog
| where DeviceVendor == "Fortinet"
| where DeviceProduct startswith "Fortigate"
| sort by TimeGenerated
Podsumowywanie według docelowego adresu IP i portu
CommonSecurityLog
| where DeviceVendor == "Fortinet"
| where DeviceProduct startswith "Fortigate"
| summarize count() by DestinationIP, DestinationPort, TimeGenerated
| sort by TimeGenerated
Instrukcje instalacji dostawcy
- Konfiguracja agenta dziennika systemu Linux
Zainstaluj i skonfiguruj agenta systemu Linux w celu zbierania komunikatów dziennika systemowego common event format (CEF) i przekazywania ich do usługi Microsoft Sentinel.
Zwróć uwagę, że dane ze wszystkich regionów będą przechowywane w wybranym obszarze roboczym
1.1 Wybierz lub utwórz maszynę z systemem Linux
Wybierz lub utwórz maszynę z systemem Linux, która będzie używana przez usługę Microsoft Sentinel jako serwer proxy między rozwiązaniem zabezpieczeń a usługą Microsoft Sentinel, może znajdować się w środowisku lokalnym, na platformie Azure lub w innych chmurach.
1.2 Instalowanie modułu zbierającego CEF na maszynie z systemem Linux
Zainstaluj program Microsoft Monitoring Agent na maszynie z systemem Linux i skonfiguruj maszynę do nasłuchiwania na wymaganym porcie i przekazywania komunikatów do obszaru roboczego usługi Microsoft Sentinel. Moduł zbierający CEF zbiera komunikaty CEF na porcie 514 TCP.
- Upewnij się, że na maszynie jest używany język Python, używając następującego polecenia: python --version.
- Musisz mieć uprawnienia z podwyższonym poziomem uprawnień (sudo) na maszynie.
Uruchom następujące polecenie, aby zainstalować moduł zbierający CEF i zastosować go:
sudo wget -O cef_installer.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/CEF/cef_installer.py &&sudo python cef_installer.py {0} {1}
- Przekazywanie dzienników fortinet do agenta dziennika systemowego
Ustaw wartość Fortinet na wysyłanie komunikatów dziennika systemowego w formacie CEF do maszyny proxy. Upewnij się, że dzienniki są wysyłane do portu 514 TCP na adresIE IP maszyny.
Skopiuj poniższe polecenia interfejsu wiersza polecenia i:
- Zastąp ciąg "adres> IP serwera<" adresem IP agenta usługi Syslog.
- Ustaw opcję "<facility_name>", aby użyć obiektu skonfigurowanego w agencie dziennika systemowego (domyślnie agent ustawia tę wartość na local4).
- Ustaw port dziennika systemowego na 514, port używany przez agenta.
- Aby włączyć format CEF we wczesnych wersjach programu FortiOS, może być konieczne uruchomienie polecenia "set csv disable".
Aby uzyskać więcej informacji, przejdź do biblioteki dokumentów Fortinet, wybierz swoją wersję i użyj plików PDF "Podręcznik" i "Dokumentacja komunikatów dziennika".
Skonfiguruj połączenie przy użyciu interfejsu wiersza polecenia, aby uruchomić następujące polecenia:
Ustawienie dziennika konfiguracji dziennika syslogd ustawia stan włącz format formatu cef zestawu portów 514 set server <ip_address_of_Receiver> end
- Weryfikowanie połączenia
Postępuj zgodnie z instrukcjami, aby zweryfikować łączność:
Otwórz usługę Log Analytics, aby sprawdzić, czy dzienniki są odbierane przy użyciu schematu CommonSecurityLog.
Może upłynąć około 20 minut, zanim dane połączenia będą przesyłane strumieniowo do obszaru roboczego.
Jeśli dzienniki nie zostaną odebrane, uruchom następujący skrypt weryfikacji łączności:
- Upewnij się, że na maszynie jest używany język Python, używając następującego polecenia: python --version
- Musisz mieć uprawnienia z podwyższonym poziomem uprawnień (sudo) na maszynie
Uruchom następujące polecenie, aby zweryfikować łączność:
sudo wget -O cef_troubleshoot.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/CEF/cef_troubleshoot.py &&sudo python cef_troubleshoot.py {0}
- Zabezpieczanie maszyny
Upewnij się, że skonfigurować zabezpieczenia maszyny zgodnie z zasadami zabezpieczeń organizacji
Następne kroki
Aby uzyskać więcej informacji, przejdź do powiązanego rozwiązania w Azure Marketplace.