Соединитель Fortinet FortiWeb Брандмауэр веб-приложений для Microsoft Sentinel
Соединитель данных fortiweb предоставляет возможность приема аналитики угроз и событий в Microsoft Sentinel.
Атрибуты соединителя
Атрибут соединителя | Описание |
---|---|
Таблицы Log Analytics | CommonSecurityLog (Fortiweb) |
Поддержка правил сбора данных | DCR преобразования рабочей области |
Поддерживаются | Microsoft Corporation |
Примеры запросов
10 основных угроз
Fortiweb
| where isnotempty(EventType)
| summarize count() by EventType
| top 10 by count_
Инструкции по установке поставщика
- Конфигурация агента системного журнала Linux
Установите и настройте агент Linux для сбора сообщений системного журнала формата common event format (CEF) и их пересылки в Microsoft Sentinel.
Обратите внимание, что данные из всех регионов будут храниться в выбранной рабочей области.
1.1. Выбор или создание компьютера Linux
Выберите или создайте компьютер Linux, который Microsoft Sentinel будет использовать в качестве прокси-сервера между решением безопасности и Microsoft Sentinel. Этот компьютер может находиться в локальной среде, Azure или других облаках.
1.2 Установка сборщика CEF на компьютере Linux
Установите Microsoft Monitoring Agent на компьютере Linux и настройте компьютер для прослушивания необходимого порта и пересылки сообщений в рабочую область Microsoft Sentinel. Сборщик CEF собирает сообщения CEF через порт TCP 514.
- Убедитесь, что на компьютере установлен Python, выполнив следующую команду: python -version.
- Вы должны обладать повышенными правами (sudo) на компьютере.
Выполните следующую команду, чтобы установить и применить сборщик CEF:
sudo wget -O cef_installer.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/CEF/cef_installer.py&&sudo python cef_installer.py {0} {1}
- Переадресация журналов общего формата событий (CEF) в агент системного журнала
Настройте решение по обеспечению безопасности для отправки сообщений системного журнала в формате CEF на прокси-компьютер. Убедитесь, что вы отправляете журналы на порт 514 TCP на IP-адресе компьютера.
- Проверка подключения
Следуйте инструкциям, чтобы проверить подключение:
Откройте Log Analytics, чтобы проверка, если журналы получены с помощью схемы CommonSecurityLog.
Подключение передает данные в рабочую область через 20 минут.
Если журналы не получены, выполните следующий скрипт проверки подключения:
- Убедитесь, что на вашем компьютере установлен Python, с помощью следующей команды: python -version
- На компьютере должны быть повышенные разрешения (sudo)
Выполните следующую команду, чтобы проверить подключение:
sudo wget -O cef_troubleshoot.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/CEF/cef_troubleshoot.py&&sudo python cef_troubleshoot.py {0}
- Защита компьютера
Убедитесь, что безопасность компьютера настроена в соответствии с политикой безопасности вашей организации.
Дальнейшие действия
Дополнительные сведения см. в соответствующем решении в Azure Marketplace.