次の方法で共有


Microsoft Sentinel 用 Fortinet FortiNDR Cloud (Azure Functions を使用) コネクタ

Fortinet FortiNDR Cloud データ コネクタでは、FortiNDR Cloud API を使用して、Fortinet FortiNDR Cloud データを Microsoft Sentinel に取り込む機能が提供されます

これは自動生成されたコンテンツです。 変更については、ソリューション プロバイダーにお問い合わせください。

コネクタの属性

コネクタ属性 説明
Kusto 関数エイリアス Fortinet_FortiNDR_Cloud
Kusto 関数 URL https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/Fortinet%20FortiNDR%20Cloud/Parsers/Fortinet_FortiNDR_Cloud.md
Log Analytics テーブル FncEventsSuricata_CL
FncEventsObservation_CL
FncEventsDetections_CL
データ収集ルールのサポート 現在、サポートされていません
サポートしているもの Fortinet

クエリのサンプル

Fortinet FortiNDR Cloud Suricata ログ

FncEventsSuricata_CL

| sort by TimeGenerated desc

Fortinet FortiNDR Cloud 監視ログ

FncEventsObservation_CL

| sort by TimeGenerated desc

Fortinet FortiNDR Cloud 検出ログ

FncEventsDetections_CL

| sort by TimeGenerated desc

前提条件

Fortinet FortiNDR Cloud (Azure Functions を使用) と統合するには、次のものがあることを確認します。

  • Microsoft.Web/sites のアクセス許可: 関数アプリを作成するための、Azure Functions に対する読み取りと書き込みのアクセス許可が必要です。 Azure Functions の詳細については、こちらのドキュメントを参照してください
  • MetaStream の資格情報: イベント データを取得するには、AWS アクセス キー IDAWS シークレット アクセス キーFortiNDR Cloud アカウント コードが必要です。
  • API 資格情報: 検出データを取得するには、FortiNDR Cloud API トークンFortiNDR Cloud アカウント UUID が必要です。

ベンダーのインストール手順

Note

このコネクタでは Azure Functions を使用して FortiNDR Cloud API に接続し、ログを Microsoft Sentinel にプルします。 これにより、追加のデータ インジェスト コストが発生する可能性があります。 詳細については、「Azure Functions の価格」ページを確認してください。

(省略可能な手順) ワークスペースと API の認可キーまたはトークンを Azure Key Vault に安全に格納します。 Azure Key Vault には、キー値を格納および取得するためのセキュリティで保護されたメカニズムが用意されています。 Azure 関数アプリで Azure Key Vault を使用するには、これらの手順に従います

注意

このコネクタでは、Kusto 関数に基づくパーサーを使用してフィールドを正規化します。 これらの手順に従って、Kusto 関数のエイリアス Fortinet_FortiNDR_Cloud を作成します。

手順 1 - Fortinet FortiNDR Cloud ログ収集の構成手順

プロバイダーによって、Azure 関数が正常に認証を行い、認可キーまたはトークンを取得し、アプライアンスのログを Microsoft Sentinel にプルできるように、'PROVIDER NAME APPLICATION NAME' API エンドポイントを構成するための詳細な手順のリンクが提供されます。

手順 2 - 次の 2 つのデプロイ オプションから 1 つを選び、コネクタと関連付けられている Azure 関数をデプロイする

重要: Fortinet FortiNDR Cloud コネクタをデプロイする前に、ワークスペース ID とワークスペース主キー (次からコピー可)、および FortiNDR Cloud API 資格情報 (FortiNDR Cloud アカウント管理で使用可能) をすぐに使用できるようにしておいてください。

オプション 1 - Azure Resource Manager (ARM) テンプレート

Fortinet FortiNDR Cloud コネクタの自動デプロイには、この方法を使用します。

  1. 下の [Azure へのデプロイ] ボタンをクリックします。

    Azure へのデプロイ

  2. お使いの [サブスクリプション][リソース グループ][場所] を選択します。

  3. [ワークスペース ID][ワークスペース キー][AwsAccessKeyId][AwsSecretAccessKey]、その他の必須フィールドを入力します。

  4. [作成] をクリックしてデプロイします。

オプション 2 - Azure Functions の手動デプロイ

Azure Functions を使って Fortinet FortiNDR Cloud コネクタを手動でデプロイするには、次の詳細な手順を使用します (Visual Studio Code によるデプロイ)。

次のステップ

詳細については、Azure Marketplace の関連ソリューションに関するページを参照してください。