[Не рекомендуется] Fortinet с помощью соединителя устаревших агентов для Microsoft Sentinel

Внимание

Сбор журналов из многих устройств и устройств теперь поддерживается общим форматом событий (CEF) через AMA, Syslog через AMA или пользовательские журналы через соединитель данных AMA в Microsoft Sentinel. Дополнительные сведения см. в статье Поиск нужных соединителей данных Microsoft Sentinel.

Соединитель брандмауэра Fortinet позволяет легко подключать журналы Fortinet к Microsoft Sentinel, просматривать панели мониторинга, создавать пользовательские оповещения и улучшать исследование. В результате вы будете получать больше полезных сведений о сети организации и расширите свои возможности для обеспечения безопасности.

Это автоматически сформированное содержимое. Для изменений обратитесь к поставщику решений.

Атрибуты соединителя

Атрибут соединителя Description
Таблицы Log Analytics CommonSecurityLog (Fortinet)
Поддержка правил сбора данных Преобразование DCR рабочей области
Поддерживается Корпорация Майкрософт

Примеры запросов

Все журналы


CommonSecurityLog

| where DeviceVendor == "Fortinet"

| where DeviceProduct startswith "Fortigate"

         
| sort by TimeGenerated

Сводка по ip-адресу назначения и порту


CommonSecurityLog

| where DeviceVendor == "Fortinet"

| where DeviceProduct startswith "Fortigate"

         
| summarize count() by DestinationIP, DestinationPort, TimeGenerated​
         
| sort by TimeGenerated

Инструкции по установке поставщика

1.0 Конфигурация агента системного журнала Linux

Установите и настройте агент Linux, чтобы собирать сообщения системного журнала общего формата событий (CEF) и пересылать их в Microsoft Sentinel.

Обратите внимание, что в выбранной рабочей области будут храниться данные из всех регионов

1.1 Выбор или создание компьютера с Linux

Выберите или создайте компьютер Linux, который Microsoft Sentinel будет использовать в качестве прокси-сервера между решением безопасности и Microsoft Sentinel, который может находиться в локальной среде, Azure или других облаках.

1.2 Установка сборщика CEF на компьютере с Linux

Установите microsoft Monitoring Agent на компьютере Linux и настройте компьютер для прослушивания необходимого порта и пересылки сообщений в рабочую область Microsoft Sentinel. Сборщик CEF собирает сообщения CEF, передаваемые через TCP-порт 514.

  1. Убедитесь, что на компьютере есть Python, используя следующую команду: python --version.

  2. Вы должны обладать повышенными правами (sudo) на компьютере.

    Выполните следующую команду, чтобы установить и применить сборщик CEF:

    sudo wget -O cef_installer.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/CEF/cef_installer.py &&sudo python cef_installer.py {0} {1}

  3. Переадресация журналов Fortinet в агент Syslog

Задайте fortinet для отправки сообщений Syslog в формате CEF на прокси-компьютер. Убедитесь, что журналы отправляются через порт 514 TCP на IP-адрес компьютера.

Скопируйте приведенные ниже команды CLI и выполните следующие действия.

  • Замените "IP-адрес> сервера<" IP-адресом агента Системного журнала.
  • Задайте для параметра "<facility_name>", чтобы использовать объект, настроенный в агенте Syslog (по умолчанию агент задает для этого значение local4).
  • Задайте для порта Системного журнала значение 514, используемый агентом.
  • Чтобы включить формат CEF в ранних версиях FortiOS, может потребоваться выполнить команду set csv disable.

Дополнительные сведения см. в библиотеке документов Fortinet, выберите свою версию и используйте pdf-файлы "Справочник по журналам" и "Справочник по сообщениям журнала".

Подробнее

Настройте подключение с помощью интерфейса командной строки для выполнения следующих команд:

config log syslogd setting
    set status enable
set format cef
set port 514
set server <ip_address_of_Receiver>
end

1.3 Проверка подключения

Следуйте инструкциям, чтобы проверить подключение:

Откройте Log Analytics, чтобы проверить, получены ли журналы с помощью схемы CommonSecurityLog.

Это может занять около 20 минут, пока данные подключения не передаются в рабочую область.

Если журналы не получены, выполните следующий сценарий проверки подключения:

  1. Убедитесь, что на компьютере есть Python, используя следующую команду: python --version

  2. На компьютере должны быть повышенные разрешения (sudo)

    Выполните следующую команду, чтобы проверить подключение:

    sudo wget -O cef_troubleshoot.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/CEF/cef_troubleshoot.py &&sudo python cef_troubleshoot.py {0}

  3. Защита компьютера

Обязательно настройте безопасность компьютера в соответствии с политикой безопасности вашей организации.

Подробнее

Следующие шаги

Дополнительные сведения см. в связанном решении в Azure Marketplace.