Freigeben über


Connector „Fortinet FortiNDR Cloud (mit Azure Functions)“ für Microsoft Sentinel

Mit dem Datenkonnektor „Fortinet FortiNDR Cloud“ können Daten aus Fortinet FortiNDR Cloud mithilfe der FortiNDR Cloud-API in Microsoft Sentinel erfasst werden.

Dieser Inhalt wurde automatisch generiert. Wenden Sie sich im Zusammenhang mit Änderungen an den Lösungsanbieter.

Connectorattribute

Connectorattribut BESCHREIBUNG
Kusto-Funktionsalias Fortinet_FortiNDR_Cloud
URL der Kusto-Funktion https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/Fortinet%20FortiNDR%20Cloud/Parsers/Fortinet_FortiNDR_Cloud.md
Log Analytics-Tabellen FncEventsSuricata_CL
FncEventsObservation_CL
FncEventsDetections_CL
Unterstützung für Datensammlungsregeln Derzeit nicht unterstützt
Unterstützt von Fortinet

Abfragebeispiele

Fortinet FortiNDR Cloud: Suricata-Protokolle

FncEventsSuricata_CL

| sort by TimeGenerated desc

Fortinet FortiNDR Cloud: Beobachtungsprotokolle

FncEventsObservation_CL

| sort by TimeGenerated desc

Fortinet FortiNDR Cloud: Erkennungsprotokolle

FncEventsDetections_CL

| sort by TimeGenerated desc

Voraussetzungen

Stellen Sie für die Integration in Fortinet FortiNDR Cloud (mit Azure Functions) sicher, dass Sie über Folgendes verfügen:

  • Microsoft.Web/sites-Berechtigungen: Lese- und Schreibberechtigungen für Azure Functions zum Erstellen einer Funktions-App sind erforderlich. Weitere Informationen zu Azure Functions finden Sie in der Dokumentation.
  • Anmeldeinformationen für MetaStream: Zum Abrufen von Ereignisdaten sind die ID des AWS-Zugriffsschlüssels, das Geheimnis für den AWS-Zugriffsschlüssel und der FortiNDR Cloud-Kontocode erforderlich.
  • API-Anmeldeinformationen: Zum Abrufen von Erkennungsdaten sind das FortiNDR Cloud-API-Token und die FortiNDR Cloud-Konto-UUID erforderlich.

Installationsanweisungen des Anbieters

Hinweis

Dieser Konnektor verwendet Azure Functions, um eine Verbindung mit der FortiNDR Cloud-API herzustellen und Protokolle in Microsoft Sentinel zu pullen. Dies kann zusätzliche Datenerfassungskosten verursachen. Ausführliche Informationen finden Sie auf der Seite mit der Preisübersicht von Azure Functions.

Optionaler Schritt Speichern Sie Arbeitsbereichs- und API-Autorisierungsschlüssel oder -token sicher in Azure Key Vault. Azure Key Vault bietet einen sicheren Mechanismus zum Speichern und Abrufen von Schlüsselwerten. Befolgen Sie diese Anweisungen, um Azure Key Vault mit einer Azure-Funktions-App zu verwenden.

Hinweis

Dieser Connector verwendet einen Parser, der auf einer Kusto-Funktion basiert, um Felder zu normalisieren. Führen Sie diese Schritte aus, um den Kusto-Funktionsalias Fortinet_FortiNDR_Cloud zu erstellen.

SCHRITT 1: Konfigurationsschritte für die Sammlung von Fortinet FortiNDR Cloud-Protokollen

Der Anbieter muss ausführliche Schritte zum Konfigurieren des Endpunkts für die API „ANBIETERNAME ANWENDUNGSNAME“ (oder einen Link zu entsprechenden Schritten) bereitstellen, damit die Azure-Funktion sich dort erfolgreich authentifizieren, den Autorisierungsschlüssel oder das Autorisierungstoken abrufen und die Protokolle der Appliance in Microsoft Sentinel pullen kann.

SCHRITT 2: Wählen Sie EINE der folgenden beiden Bereitstellungsoptionen aus, um den Connector und die zugehörige Azure-Funktion bereitzustellen

WICHTIG: Halten Sie vor der Bereitstellung des Fortinet FortiNDR Cloud-Konnektors die folgenden Informationen bereit: Arbeitsbereich-ID und Primärschlüssel des Arbeitsbereichs (können im Folgenden kopiert werden) sowie die FortiNDR Cloud API-Anmeldeinformationen (verfügbar in der FortiNDR Cloud-Kontoverwaltung).

Option 1: Azure Resource Manager-Vorlage (ARM)

Verwenden Sie diese Methode für die automatisierte Bereitstellung des Fortinet FortiNDR Cloud-Connectors.

  1. Klicken Sie unten auf die Schaltfläche In Azure bereitstellen.

    In Azure bereitstellen

  2. Wählen Sie die bevorzugten Werte für Abonnement, Ressourcengruppe und Standort aus.

  3. Geben Sie die Arbeitsbereichs-ID und den Arbeitsbereichsschlüssel sowie AwsAccessKeyId, AwsSecretAccessKey und ggf. andere erforderliche Informationen ein.

  4. Klicken Sie zum Bereitstellen auf Erstellen.

Option 2: Manuelle Bereitstellung von Azure Functions

Verwenden Sie die folgende Schrittanleitung, um den Fortinet FortiNDR Cloud-Connector manuell mit Azure Functions bereitzustellen (Bereitstellung über Visual Studio Code):

Nächste Schritte

Weitere Informationen finden Sie in der entsprechenden Lösung im Azure Marketplace.