Conector Fortinet para o Microsoft Sentinel
O conector de firewall fortinet permite-lhe ligar facilmente os seus registos fortinet ao Microsoft Sentinel, ver dashboards, criar alertas personalizados e melhorar a investigação. Isto dá-lhe mais informações sobre a rede da sua organização e melhora as suas capacidades de operação de segurança.
Atributos do conector
Atributo do conector | Description |
---|---|
Tabelas do Log Analytics | CommonSecurityLog (Fortinet) |
Suporte de regras de recolha de dados | Transformação da área de trabalho DCR |
Suportado por | Microsoft Corporation |
Exemplos de consulta
Todos os registos
CommonSecurityLog
| where DeviceVendor == "Fortinet"
| where DeviceProduct startswith "Fortigate"
| sort by TimeGenerated
Resumir por IP de destino e porta
CommonSecurityLog
| where DeviceVendor == "Fortinet"
| where DeviceProduct startswith "Fortigate"
| summarize count() by DestinationIP, DestinationPort, TimeGenerated
| sort by TimeGenerated
Instruções de instalação do fornecedor
- Configuração do agente Syslog do Linux
Instale e configure o agente linux para recolher as suas mensagens do Syslog do Common Event Format (CEF) e reencaminhá-las para o Microsoft Sentinel.
Repare que os dados de todas as regiões serão armazenados na área de trabalho selecionada
1.1 Selecionar ou criar um computador Linux
Selecione ou crie um computador Linux que o Microsoft Sentinel utilizará como proxy entre a sua solução de segurança e o Microsoft Sentinel este computador pode estar no seu ambiente no local, no Azure ou noutras clouds.
1.2 Instalar o recoletor CEF no computador Linux
Instale o Microsoft Monitoring Agent no seu computador Linux e configure o computador para escutar na porta necessária e reencaminhar mensagens para a sua área de trabalho do Microsoft Sentinel. O recoletor CEF recolhe mensagens CEF na porta 514 TCP.
- Certifique-se de que tem o Python no computador com o seguinte comando: python --version.
- Tem de ter permissões elevadas (sudo) no seu computador.
Execute o seguinte comando para instalar e aplicar o recoletor CEF:
sudo wget -O cef_installer.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/CEF/cef_installer.py &&sudo python cef_installer.py {0} {1}
- Reencaminhar registos da Fortinet para o agente do Syslog
Defina a sua Fortinet para enviar mensagens Syslog no formato CEF para o computador proxy. Certifique-se de que envia os registos para a porta 514 TCP no endereço IP do computador.
Copie os comandos da CLI abaixo e:
- Substitua "endereço> IP do servidor<" pelo endereço IP do agente do Syslog.
- Defina o "<facility_name>" para utilizar a instalação que configurou no agente do Syslog (por predefinição, o agente define-o como local4).
- Defina a porta Syslog como 514, a porta que o agente utiliza.
- Para ativar o formato CEF em versões anteriores do FortiOS, poderá ter de executar o comando "desativar csv".
Para obter mais informações, aceda à Biblioteca de Documentos da Fortinet, escolha a sua versão e utilize os PDFs "Manual" e "Referência de Mensagens de Registo".
Configure a ligação com a CLI para executar os seguintes comandos:
config log syslogd setting set status enable set format cef set port 514 set server <ip_address_of_Receiver> end
- Validar ligação
Siga as instruções para validar a conectividade:
Abra o Log Analytics para verificar se os registos são recebidos com o esquema CommonSecurityLog.
Pode demorar cerca de 20 minutos até que a ligação transmita dados para a área de trabalho.
Se os registos não forem recebidos, execute o seguinte script de validação de conectividade:
- Certifique-se de que tem o Python no computador com o seguinte comando: python --version
- Tem de ter permissões elevadas (sudo) no seu computador
Execute o seguinte comando para validar a conectividade:
sudo wget -O cef_troubleshoot.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/CEF/cef_troubleshoot.py &&sudo python cef_troubleshoot.py {0}
- Proteger o computador
Certifique-se de que configura a segurança do computador de acordo com a política de segurança da sua organização
Passos seguintes
Para obter mais informações, aceda à solução relacionada no Azure Marketplace.