Conector do Fortinet FortiNDR Cloud (usando o Azure Functions) para o Microsoft Sentinel
O conector de dados do Fortinet FortiNDR Cloud fornece a capacidade de ingerir eventos do Fortinet FortiNDR Cloud armazenados no Amazon S3 no Microsoft Sentinel usando a API REST do Amazon S3.
Esse é conteúdo gerado automaticamente. Para alterações, entre em contato com o fornecedor da solução.
Atributos do conector
| Atributo do conector | Description |
|---|---|
| Alias de função do Kusto | Fortinet_FortiNDR_Cloud |
| URL da função do Kusto | https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/Fortinet%20FortiNDR%20Cloud/Parsers/Fortinet_FortiNDR_Cloud.md |
| Tabela(s) do Log Analytics | FncEventsSuricata_CL FncEventsObservation_CL FncEventsDetections_CL |
| Suporte às regras de coleta de dados | Sem suporte no momento |
| Com suporte por | Fortinet |
Exemplos de consulta
Logs do Suricata do Fortinet FortiNDR Cloud
FncEventsSuricata_CL
| sort by TimeGenerated desc
Logs de observação do Fortinet FortiNDR Cloud
FncEventsObservation_CL
| sort by TimeGenerated desc
Logs de detecções do Fortinet FortiNDR Cloud
FncEventsDetections_CL
| sort by TimeGenerated desc
Pré-requisitos
Para se integrar ao Fortinet FortiNDR Cloud (usando o Azure Functions), verifique se você tem:
- Permissões Microsoft.Web/sites : são necessárias permissões de leitura e gravação no Azure Functions para criar um Aplicativo de Funções. Confira a documentação para saber mais sobre o Azure Functions.
- Credenciais/permissões do MetaStream: ID da chave de acesso do AWS, Chave de acesso de segredo do AWS, Código da conta do FortiNDR Cloud são necessários para recuperar dados de evento.
Instruções de instalação do fornecedor
Observação
Esse conector usa o Azure Functions para se conectar à API REST do Amazon S3 a fim de efetuar pull dos logs no Microsoft Sentinel. Isso pode resultar em custos adicionais de ingestão de dados. Consulte a página de preços do Azure Functions para obter detalhes.
(Etapa opcional): armazene o espaço de trabalho e as chaves de autorização ou tokens da API com segurança no Azure Key Vault. O Azure Key Vault fornece um mecanismo seguro para armazenar e recuperar valores de chave. Siga estas instruções para usar o Azure Key Vault com um aplicativos do Azure Function.
Observação
Esse conector usa um analisador baseado em uma função Kusto para normalizar campos. Siga estas etapas para criar o alias da função Kusto Fortinet_FortiNDR_Cloud.
ETAPA 1 – etapas de configuração para a coleção de logs do Fortinet FortiNDR Cloud
O provedor deve fornecer ou vincular a etapas detalhadas para configurar o ponto de extremidade da API "NOME DO APLICATIVO NOME DO PROVEDOR" para que a Função do Azure possa se autenticar com êxito, obter sua chave de autorização ou token e efetuar pull dos logs do dispositivo no Microsoft Sentinel.
ETAPA 2: Escolha UMA das duas opções de implantação a seguir para implantar o conector e a Função do Azure associada
IMPORTANTE: antes de implantar o conector do Fortinet FortiNDR Cloud, tenha a ID do workspace e a chave primária do workspace (pode ser copiada a partir do seguinte), bem como as credenciais do MetaStream (disponíveis no gerenciamento de conta do FortiNDR Cloud), prontamente disponíveis.
Opção 1 – Modelo do Azure Resource Manager (ARM)
Use este método para implantação automatizada do conector do Fortinet FortiNDR Cloud.
Clique no botão Implantar no Azure abaixo.
Selecione a Assinatura, o Grupo de Recursos e o Local de sua preferência.
Insira a ID do workspace, a chave do workspace, a AwsAccessKeyId, a AwsSecretAccessKey e/ou outros campos necessários.
Clique em Criar para implantar.
Opção 2 – Implantação Manual do Azure Functions
Use as instruções passo a passo a seguir para implantar o conector do Fortinet FortiNDR Cloud manualmente com o Azure Functions (Implantação por meio do Visual Studio Code).
Próximas etapas
Para obter mais informações, acesse a solução relacionada no Azure Marketplace.