Microsoft Sentinel 用 Fortinet FortiNDR Cloud (Azure Functions を使用) コネクタ
Fortinet FortiNDR Cloud データ コネクタでは、FortiNDR Cloud API を使用して、Fortinet FortiNDR Cloud データを Microsoft Sentinel に取り込む機能が提供されます
これは自動生成されたコンテンツです。 変更については、ソリューション プロバイダーにお問い合わせください。
コネクタの属性
| コネクタ属性 | 説明 |
|---|---|
| Kusto 関数エイリアス | Fortinet_FortiNDR_Cloud |
| Kusto 関数 URL | https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/Fortinet%20FortiNDR%20Cloud/Parsers/Fortinet_FortiNDR_Cloud.md |
| Log Analytics テーブル | FncEventsSuricata_CL FncEventsObservation_CL FncEventsDetections_CL |
| データ収集ルールのサポート | 現在、サポートされていません |
| サポートしているもの | Fortinet |
クエリのサンプル
Fortinet FortiNDR Cloud Suricata ログ
FncEventsSuricata_CL
| sort by TimeGenerated desc
Fortinet FortiNDR Cloud 監視ログ
FncEventsObservation_CL
| sort by TimeGenerated desc
Fortinet FortiNDR Cloud 検出ログ
FncEventsDetections_CL
| sort by TimeGenerated desc
前提条件
Fortinet FortiNDR Cloud (Azure Functions を使用) と統合するには、次のものがあることを確認します。
- Microsoft.Web/sites のアクセス許可: 関数アプリを作成するための、Azure Functions に対する読み取りと書き込みのアクセス許可が必要です。 Azure Functions の詳細については、こちらのドキュメントを参照してください。
- MetaStream の資格情報: イベント データを取得するには、AWS アクセス キー ID、AWS シークレット アクセス キー、FortiNDR Cloud アカウント コードが必要です。
- API 資格情報: 検出データを取得するには、FortiNDR Cloud API トークン、FortiNDR Cloud アカウント UUID が必要です。
ベンダーのインストール手順
Note
このコネクタでは Azure Functions を使用して FortiNDR Cloud API に接続し、ログを Microsoft Sentinel にプルします。 これにより、追加のデータ インジェスト コストが発生する可能性があります。 詳細については、「Azure Functions の価格」ページを確認してください。
(省略可能な手順) ワークスペースと API の認可キーまたはトークンを Azure Key Vault に安全に格納します。 Azure Key Vault には、キー値を格納および取得するためのセキュリティで保護されたメカニズムが用意されています。 Azure 関数アプリで Azure Key Vault を使用するには、これらの手順に従います。
注意
このコネクタでは、Kusto 関数に基づくパーサーを使用してフィールドを正規化します。 これらの手順に従って、Kusto 関数のエイリアス Fortinet_FortiNDR_Cloud を作成します。
手順 1 - Fortinet FortiNDR Cloud ログ収集の構成手順
プロバイダーによって、Azure 関数が正常に認証を行い、認可キーまたはトークンを取得し、アプライアンスのログを Microsoft Sentinel にプルできるように、'PROVIDER NAME APPLICATION NAME' API エンドポイントを構成するための詳細な手順のリンクが提供されます。
手順 2 - 次の 2 つのデプロイ オプションから 1 つを選び、コネクタと関連付けられている Azure 関数をデプロイする
重要: Fortinet FortiNDR Cloud コネクタをデプロイする前に、ワークスペース ID とワークスペース主キー (次からコピー可)、および FortiNDR Cloud API 資格情報 (FortiNDR Cloud アカウント管理で使用可能) をすぐに使用できるようにしておいてください。
オプション 1 - Azure Resource Manager (ARM) テンプレート
Fortinet FortiNDR Cloud コネクタの自動デプロイには、この方法を使用します。
下の [Azure へのデプロイ] ボタンをクリックします。
お使いの [サブスクリプション]、[リソース グループ]、[場所] を選択します。
[ワークスペース ID]、[ワークスペース キー]、[AwsAccessKeyId]、[AwsSecretAccessKey]、その他の必須フィールドを入力します。
[作成] をクリックしてデプロイします。
オプション 2 - Azure Functions の手動デプロイ
Azure Functions を使って Fortinet FortiNDR Cloud コネクタを手動でデプロイするには、次の詳細な手順を使用します (Visual Studio Code によるデプロイ)。
次のステップ
詳細については、Azure Marketplace の関連ソリューションに関するページを参照してください。