Łącznik Fortinet FortiNDR Cloud (przy użyciu usługi Azure Functions) dla usługi Microsoft Sentinel
Łącznik danych Fortinet FortiNDR Cloud zapewnia możliwość pozyskiwania danych fortinet FortiNDR Cloud do usługi Microsoft Sentinel przy użyciu interfejsu API chmury FortiNDR
Jest to automatycznie wygenerowana zawartość. W przypadku zmian skontaktuj się z dostawcą rozwiązania.
atrybuty Połączenie or
| atrybut Połączenie or | opis |
|---|---|
| Alias funkcji Kusto | Fortinet_FortiNDR_Cloud |
| Adres URL funkcji Kusto | https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/Fortinet%20FortiNDR%20Cloud/Parsers/Fortinet_FortiNDR_Cloud.md |
| Tabele usługi Log Analytics | FncEventsSuricata_CL FncEventsObservation_CL FncEventsDetections_CL |
| Obsługa reguł zbierania danych | Obecnie nieobsługiwane |
| Obsługiwane przez | Fortinet |
Przykłady zapytań
Fortinet FortiNDR Cloud Suricata Logs
FncEventsSuricata_CL
| sort by TimeGenerated desc
Dzienniki obserwacji chmury FortiNDR FortiNDR
FncEventsObservation_CL
| sort by TimeGenerated desc
Dzienniki wykrywania chmury FortiNDR FortiNDR
FncEventsDetections_CL
| sort by TimeGenerated desc
Wymagania wstępne
Aby zintegrować aplikację Fortinet FortiNDR Cloud (przy użyciu usługi Azure Functions), upewnij się, że masz następujące elementy:
- Uprawnienia Microsoft.Web/sites: wymagane są uprawnienia do odczytu i zapisu w usłudze Azure Functions w celu utworzenia aplikacji funkcji. Zapoznaj się z dokumentacją, aby dowiedzieć się więcej o usłudze Azure Functions.
- Poświadczenia metastream: identyfikator klucza dostępu platformy AWS, klucz dostępu tajnego platformy AWS, kod konta chmury FortiNDR są wymagane do pobrania danych zdarzenia.
- Poświadczenia interfejsu API: Token interfejsu API chmury FortiNDR, identyfikator UUID konta chmury FortiNDR jest wymagany do pobrania danych wykrywania.
Instrukcje instalacji dostawcy
Uwaga
Ten łącznik używa usługi Azure Functions do nawiązywania połączenia z interfejsem API chmury FortiNDR w celu ściągnięcia dzienników do usługi Microsoft Sentinel. Może to spowodować dodatkowe koszty pozyskiwania danych. Aby uzyskać szczegółowe informacje, zobacz stronę cennika usługi Azure Functions.
(Krok opcjonalny) Bezpiecznie przechowuj obszary robocze i klucze autoryzacji interfejsu API lub tokeny w usłudze Azure Key Vault. Usługa Azure Key Vault zapewnia bezpieczny mechanizm przechowywania i pobierania wartości kluczy. Postępuj zgodnie z tymi instrukcjami , aby używać usługi Azure Key Vault z aplikacją funkcji platformy Azure.
Uwaga
Ten łącznik używa analizatora opartego na funkcji Kusto do normalizacji pól. Wykonaj następujące kroki , aby utworzyć alias funkcji Kusto Fortinet_FortiNDR_Cloud.
KROK 1. Kroki konfiguracji dla kolekcji dzienników chmury FortiNDR FortiNDR
Dostawca powinien podać lub połączyć się ze szczegółowymi krokami konfigurowania punktu końcowego interfejsu API "NAZWA APLIKACJI NAZWY DOSTAWCY", aby funkcja platformy Azure mogła ją pomyślnie uwierzytelnić, pobrać klucz autoryzacji lub token i ściągnąć dzienniki urządzenia do usługi Microsoft Sentinel.
KROK 2. Wybierz jedną z następujących dwóch opcji wdrażania, aby wdrożyć łącznik i skojarzoną funkcję platformy Azure
WAŻNE: Przed wdrożeniem łącznika fortiNDR w chmurze FortiNDR należy mieć identyfikator obszaru roboczego i klucz podstawowy obszaru roboczego (można go skopiować z następujących elementów), a także poświadczenia interfejsu API chmury FortiNDR (dostępne w zarządzaniu kontami fortiNDR w chmurze).
Opcja 1 — szablon usługi Azure Resource Manager (ARM)
Ta metoda służy do automatycznego wdrażania łącznika Fortinet FortiNDR Cloud.
Kliknij przycisk Wdróż na platformie Azure poniżej.
Wybierz preferowaną subskrypcję, grupę zasobów i lokalizację.
Wprowadź identyfikator obszaru roboczego, klucz obszaru roboczego, awsAccessKeyId, awsSecretAccessKey i/lub inne wymagane pola.
Kliknij przycisk Utwórz , aby wdrożyć.
Opcja 2 — ręczne wdrażanie usługi Azure Functions
Skorzystaj z poniższych instrukcji krok po kroku, aby ręcznie wdrożyć łącznik FortiNDR Cloud z usługą Azure Functions (wdrażanie za pomocą programu Visual Studio Code).
Następne kroki
Aby uzyskać więcej informacji, przejdź do powiązanego rozwiązania w witrynie Azure Marketplace.