Fortinet FortiNDR Cloud-connector (met behulp van Azure Functions) voor Microsoft Sentinel
De Fortinet FortiNDR Cloud-gegevensconnector biedt de mogelijkheid om Fortinet Fortinet FortiNDR Cloud-gegevens op te nemen in Microsoft Sentinel met behulp van de FortiNDR Cloud-API
Dit is automatisch gegenereerde inhoud. Neem contact op met de provider van de oplossing voor wijzigingen.
Verbinding maken orkenmerken
| Verbinding maken orkenmerk | Beschrijving |
|---|---|
| Kusto-functiealias | Fortinet_FortiNDR_Cloud |
| Kusto-functie-URL | https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/Fortinet%20FortiNDR%20Cloud/Parsers/Fortinet_FortiNDR_Cloud.md |
| Log Analytics-tabellen | FncEventsSuricata_CL FncEventsObservation_CL FncEventsDetections_CL |
| Ondersteuning voor regels voor gegevensverzameling | Wordt momenteel niet ondersteund |
| Ondersteund door | Fortinet |
Voorbeelden van query's
Fortinet FortiNDR Cloud Suricata-logboeken
FncEventsSuricata_CL
| sort by TimeGenerated desc
Fortinet FortiNDR Cloud Observation Logs
FncEventsObservation_CL
| sort by TimeGenerated desc
Fortinet FortiNDR-logboeken voor clouddetectie
FncEventsDetections_CL
| sort by TimeGenerated desc
Vereisten
Als u wilt integreren met Fortinet FortiNDR Cloud (met behulp van Azure Functions), moet u het volgende doen:
- Machtigingen voor Microsoft.Web/sites: Lees- en schrijfmachtigingen voor Azure Functions om een functie-app te maken is vereist. Raadpleeg de documentatie voor meer informatie over Azure Functions.
- MetaStream-referenties: AWS-toegangssleutel-id, AWS Geheime toegangssleutel, FortiNDR-cloudaccountcode zijn vereist om gebeurtenisgegevens op te halen.
- API-referenties: FortiNDR Cloud API-token, FortiNDR Cloud Account UUID zijn vereist om detectiegegevens op te halen.
Installatie-instructies van leverancier
Notitie
Deze connector maakt gebruik van Azure Functions om verbinding te maken met de FortiNDR Cloud-API om logboeken in Microsoft Sentinel op te halen. Dit kan leiden tot extra kosten voor gegevensopname. Raadpleeg de pagina met prijzen van Azure Functions voor meer informatie.
(Optionele stap) Sla werkruimte en API-autorisatiesleutel(s) of token(s) veilig op in Azure Key Vault. Azure Key Vault biedt een veilig mechanisme voor het opslaan en ophalen van sleutelwaarden. Volg deze instructies voor het gebruik van Azure Key Vault met een Azure Function-app.
Notitie
Deze connector maakt gebruik van een parser op basis van een Kusto-functie om velden te normaliseren. Volg deze stappen om de Kusto-functiealias te maken Fortinet_FortiNDR_Cloud.
STAP 1: configuratiestappen voor de fortinet FortiNDR-cloudlogboekenverzameling
De provider moet gedetailleerde stappen opgeven of koppelen om het API-eindpunt 'NAAM PROVIDERNAAM TOEPASSINGSNAAM' te configureren, zodat de Azure-functie zich kan verifiëren, de autorisatiesleutel of het token kan ophalen en de logboeken van het apparaat naar Microsoft Sentinel kan ophalen.
STAP 2: Kies EEN van de volgende twee implementatieopties om de connector en de bijbehorende Azure-functie te implementeren
BELANGRIJK: Voordat u de Fortinet FortiNDR Cloud-connector implementeert, moet u de primaire sleutel voor de werkruimte en de primaire werkruimtesleutel (kunnen worden gekopieerd uit de volgende), evenals de fortiNDR Cloud-API-referenties (beschikbaar in FortiNDR Cloud-accountbeheer), direct beschikbaar.
Optie 1: ARM-sjabloon (Azure Resource Manager)
Gebruik deze methode voor geautomatiseerde implementatie van de Fortinet FortiNDR Cloud-connector.
Klik op de knop Implementeren in Azure hieronder.
Selecteer het voorkeursabonnement, de resourcegroep en de locatie.
Voer de werkruimte-id, werkruimtesleutel, AwsAccessKeyId, AwsSecretAccessKey en/of andere vereiste velden in.
Klik op Maken om te implementeren.
Optie 2: handmatige implementatie van Azure Functions
Gebruik de volgende stapsgewijze instructies om de Fortinet FortiNDR Cloud-connector handmatig te implementeren met Azure Functions (implementatie via Visual Studio Code).
Volgende stappen
Ga naar de gerelateerde oplossing in Azure Marketplace voor meer informatie.