Partilhar via

Fortinet FortiNDR Cloud (usando o Azure Functions) conector para Microsoft Sentinel

  • Artigo

O conector de dados Fortinet FortiNDR Cloud fornece a capacidade de ingerir dados Fortinet FortiNDR Cloud no Microsoft Sentinel usando a API FortiNDR Cloud

Trata-se de conteúdo gerado automaticamente. Para alterações, entre em contato com o provedor da solução.

Atributos do conector

Atributo do conector Description
Alias de função Kusto Fortinet_FortiNDR_Cloud
URL da função Kusto https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/Fortinet%20FortiNDR%20Cloud/Parsers/Fortinet_FortiNDR_Cloud.md
Tabela(s) do Log Analytics FncEventsSuricata_CL
FncEventsObservation_CL
FncEventsDetections_CL
Suporte a regras de coleta de dados Não é suportado atualmente
Apoiado por Fortinet

Exemplos de consulta

Fortinet FortiNDR Cloud Suricata Logs

FncEventsSuricata_CL

| sort by TimeGenerated desc

Logs de observação na nuvem Fortinet FortiNDR

FncEventsObservation_CL

| sort by TimeGenerated desc

Logs de deteções de nuvem Fortinet FortiNDR

FncEventsDetections_CL

| sort by TimeGenerated desc

Pré-requisitos

Para integrar com o Fortinet FortiNDR Cloud (usando o Azure Functions), certifique-se de ter:

  • Permissões Microsoft.Web/sites: são necessárias permissões de leitura e gravação no Azure Functions para criar um Aplicativo de Função. Consulte a documentação para saber mais sobre o Azure Functions.
  • Credenciais do MetaStream: AWS Access Key Id, AWS Secret Access Key, FortiNDR Cloud Account Code são necessárias para recuperar dados de eventos.
  • Credenciais da API: FortiNDR Cloud API Token, FortiNDR Cloud Account UUID são necessários para recuperar dados de deteção.

Instruções de instalação do fornecedor

Nota

Esse conector usa o Azure Functions para se conectar à API do FortiNDR Cloud para extrair logs para o Microsoft Sentinel. Isso pode resultar em custos adicionais de ingestão de dados. Consulte a página de preços do Azure Functions para obter detalhes.

(Etapa opcional) Armazene com segurança a(s) chave(s) de autorização do espaço de trabalho e da API ou código(s) no Cofre de Chaves do Azure. O Azure Key Vault fornece um mecanismo seguro para armazenar e recuperar valores de chave. Siga estas instruções para usar o Azure Key Vault com um Aplicativo de Função do Azure.

Nota

Este conector usa um analisador baseado em uma função Kusto para normalizar campos. Siga estas etapas para criar o alias de função Kusto Fortinet_FortiNDR_Cloud.

PASSO 1 - Passos de configuração para a Fortinet FortiNDR Cloud Logs Collection

O provedor deve fornecer ou vincular a etapas detalhadas para configurar o ponto de extremidade da API 'NOME DO APLICATIVO NOME DO PROVEDOR' para que a Função do Azure possa se autenticar nele com êxito, obter sua chave de autorização ou token e extrair os logs do dispositivo para o Microsoft Sentinel.

ETAPA 2 - Escolha UMA das duas opções de implantação a seguir para implantar o conector e a Função do Azure associada

IMPORTANTE: Antes de implantar o conector Fortinet FortiNDR Cloud, tenha o ID do espaço de trabalho e a chave primária do espaço de trabalho (podem ser copiados do seguinte), bem como as credenciais da API do FortiNDR Cloud (disponíveis no gerenciamento de contas do FortiNDR Cloud), prontamente disponíveis.

Opção 1 - Modelo do Azure Resource Manager (ARM)

Use este método para a implantação automatizada do conector Fortinet FortiNDR Cloud.

  1. Clique no botão Implantar no Azure abaixo.

    Implementar no Azure

  2. Selecione a Subscrição, o Grupo de Recursos e a Localização preferidos.

  3. Insira o ID do espaço de trabalho, Chave do espaço de trabalho, AwsAccessKeyId, AwsSecretAccessKey e/ou Outros campos obrigatórios.

  4. Clique em Criar para implantar.

Opção 2 - Implantação manual do Azure Functions

Use as instruções passo a passo a seguir para implantar o Fortinet FortiNDR Cloud connector manualmente com o Azure Functions(Implantação via Visual Studio Code).

Próximos passos

Para obter mais informações, vá para a solução relacionada no Azure Marketplace.