Соединитель Fortinet FortiNDR Cloud (с помощью Функции Azure) для Microsoft Sentinel
Соединитель данных Fortinet FortiNDR Cloud предоставляет возможность приема данных Fortinet FortiNDR Cloud в Microsoft Sentinel с помощью ОБЛАЧНОго API FortiNDR
Это автоматически сформированное содержимое. Для изменений обратитесь к поставщику решений.
атрибуты Подключение or
| Атрибут соединителя | Description |
|---|---|
| Псевдоним функции Kusto | Fortinet_FortiNDR_Cloud |
| URL-адрес функции Kusto | https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/Fortinet%20FortiNDR%20Cloud/Parsers/Fortinet_FortiNDR_Cloud.md |
| Таблицы Log Analytics | FncEventsSuricata_CL FncEventsObservation_CL FncEventsDetections_CL |
| Поддержка правил сбора данных | В настоящий момент не поддерживается |
| Поддерживается | Fortinet |
Примеры запросов
Fortinet FortiNDR Cloud Suricata Logs
FncEventsSuricata_CL
| sort by TimeGenerated desc
Журналы наблюдения за облаком FortiNDR FortiNDR
FncEventsObservation_CL
| sort by TimeGenerated desc
Журналы обнаружения облаков FortiNDR FortiNDR
FncEventsDetections_CL
| sort by TimeGenerated desc
Необходимые компоненты
Чтобы интегрироваться с Fortinet FortiNDR Cloud (с помощью Функции Azure), убедитесь, что у вас есть:
- Разрешения Microsoft.Web/sites: требуется разрешение на чтение и запись для Функции Azure для создания приложения-функции. Дополнительные сведения о Функции Azure см. в документации.
- Учетные данные MetaStream: идентификатор ключа доступа AWS, секретный ключ доступа AWS, код облачной учетной записи FortiNDR требуется для получения данных о событиях.
- Учетные данные API: маркер API FortiNDR Cloud API, для получения данных обнаружения требуются идентификаторы UUID облачной учетной записи FortiNDR.
Инструкции по установке поставщика
Примечание.
Этот соединитель использует Функции Azure для подключения к ОБЛАЧНОму API FortiNDR для извлечения журналов в Microsoft Sentinel. Это может привести к дополнительным затратам на прием данных. Сведения см. на странице с ценами на функции Azure.
(Необязательный шаг) Безопасное хранение рабочих областей и ключей авторизации API в Azure Key Vault. Azure Key Vault предоставляет безопасный механизм для хранения и извлечения значений ключей. Выполните эти инструкции, чтобы использовать Azure Key Vault с приложением-функцией Azure.
Примечание.
Этот соединитель использует средство синтаксического анализа на основе функции Kusto для нормализации полей. Выполните следующие действия , чтобы создать псевдоним функции Kusto Fortinet_FortiNDR_Cloud.
ШАГ 1. Действия по настройке для коллекции журналов облака FortiNDR FortiNDR
Поставщик должен предоставить или связаться с подробными инструкциями по настройке конечной точки API "ИМЯ ПРИЛОЖЕНИЯ ПОСТАВЩИКА", чтобы функция Azure успешно выполнила проверку подлинности, получить ключ авторизации или маркер и извлечь журналы (модуль) в Microsoft Sentinel.
ШАГ 2. Выберите ОДИН из следующих двух вариантов развертывания для развертывания соединителя и связанной функции Azure
ВАЖНО. Перед развертыванием соединителя Fortinet FortiNDR Cloud укажите идентификатор рабочей области и первичный ключ рабочей области (можно скопировать из следующего), а также учетные данные ОБЛАЧНОго API FortiNDR (доступные в службе управления облачными учетными записями FortiNDR).
Вариант 1. Шаблон Azure Resource Manager (ARM)
Используйте этот метод для автоматического развертывания соединителя Fortinet FortiNDR Cloud.
Нажмите кнопку Deploy to Azure (Развернуть в Azure) ниже.
Выберите предпочтительную подписку, группу ресурсов и расположение.
Введите идентификатор рабочей области, ключ рабочей области, AwsAccessKeyId, AwsSecretAccessKey и/или другие обязательные поля.
Нажмите кнопку " Создать ", чтобы развернуть.
Вариант 2. Развертывание Функции Azure вручную
Выполните следующие пошаговые инструкции по развертыванию соединителя Fortinet FortiNDR Cloud вручную с помощью Функции Azure(развертывание с помощью Visual Studio Code).
Следующие шаги
Дополнительные сведения см. в связанном решении в Azure Marketplace.