Conector do Fortinet FortiNDR Cloud (usando o Azure Functions) para o Microsoft Sentinel
O conector de dados Fortinet FortiNDR Cloud fornece a capacidade de ingerir dados Fortinet FortiNDR Cloud no Microsoft Sentinel usando a API FortiNDR Cloud
Esse é conteúdo gerado automaticamente. Para alterações, entre em contato com o provedor da solução.
Atributos do conector
| Atributo do conector | Description |
|---|---|
| Alias de função do Kusto | Fortinet_FortiNDR_Cloud |
| URL da função do Kusto | https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/Fortinet%20FortiNDR%20Cloud/Parsers/Fortinet_FortiNDR_Cloud.md |
| Tabela(s) do Log Analytics | FncEventsSuricata_CL FncEventsObservation_CL FncEventsDetections_CL |
| Suporte às regras de coleta de dados | Sem suporte no momento |
| Com suporte por | Fortinet |
Exemplos de consulta
Logs do Suricata do Fortinet FortiNDR Cloud
FncEventsSuricata_CL
| sort by TimeGenerated desc
Logs de observação do Fortinet FortiNDR Cloud
FncEventsObservation_CL
| sort by TimeGenerated desc
Logs de detecções do Fortinet FortiNDR Cloud
FncEventsDetections_CL
| sort by TimeGenerated desc
Pré-requisitos
Para se integrar ao Fortinet FortiNDR Cloud (usando o Azure Functions), verifique se você tem:
- Permissões Microsoft.Web/sites : são necessárias permissões de leitura e gravação no Azure Functions para criar um Aplicativo de Funções. Confira a documentação para saber mais sobre o Azure Functions.
- Credenciais MetaStream: AWS Access Key Id, AWS Secret Access Key, FortiNDR Cloud Account Code são necessárias para recuperar dados de eventos.
- Credenciais de API: FortiNDR Cloud API Token, FortiNDR Cloud Account UUID são necessários para recuperar dados de detecção.
Instruções de instalação do fornecedor
Observação
Esse conector usa Azure Functions para se conectar à API FortiNDR Cloud para extrair logs para o Microsoft Sentinel. Isso pode resultar em custos adicionais de ingestão de dados. Consulte a página de preços do Azure Functions para obter detalhes.
(Etapa opcional): armazene o espaço de trabalho e as chaves de autorização ou tokens da API com segurança no Azure Key Vault. O Azure Key Vault fornece um mecanismo seguro para armazenar e recuperar valores de chave. Siga estas instruções para usar o Azure Key Vault com um aplicativos do Azure Function.
Observação
Esse conector usa um analisador baseado em uma função Kusto para normalizar campos. Siga estas etapas para criar o alias da função Kusto Fortinet_FortiNDR_Cloud.
ETAPA 1 – etapas de configuração para a coleção de logs do Fortinet FortiNDR Cloud
O provedor deve fornecer ou vincular a etapas detalhadas para configurar o ponto de extremidade da API "NOME DO APLICATIVO NOME DO PROVEDOR" para que a Função do Azure possa se autenticar com êxito, obter sua chave de autorização ou token e efetuar pull dos logs do dispositivo no Microsoft Sentinel.
ETAPA 2: Escolha UMA das duas opções de implantação a seguir para implantar o conector e a Função do Azure associada
IMPORTANTE: Antes de implantar o conector Fortinet FortiNDR Cloud, tenha o ID do espaço de trabalho e a chave primária do espaço de trabalho (podem ser copiados a seguir), bem como as credenciais da API do FortiNDR Cloud (disponíveis no gerenciamento de contas do FortiNDR Cloud), prontamente disponíveis.
Opção 1 – Modelo do Azure Resource Manager (ARM)
Use este método para implantação automatizada do conector do Fortinet FortiNDR Cloud.
Clique no botão Implantar no Azure abaixo.
Selecione a Assinatura, o Grupo de Recursos e o Local de sua preferência.
Insira a ID do workspace, a chave do workspace, a AwsAccessKeyId, a AwsSecretAccessKey e/ou outros campos necessários.
Clique em Criar para implantar.
Opção 2 – Implantação Manual do Azure Functions
Use as instruções passo a passo a seguir para implantar o conector do Fortinet FortiNDR Cloud manualmente com o Azure Functions (Implantação por meio do Visual Studio Code).
Próximas etapas
Para obter mais informações, acesse a solução relacionada no Azure Marketplace.