Fortinet FortiNDR Cloud (usando o Azure Functions) conector para Microsoft Sentinel
O conector de dados Fortinet FortiNDR Cloud fornece a capacidade de ingerir dados Fortinet FortiNDR Cloud no Microsoft Sentinel usando a API FortiNDR Cloud
Trata-se de conteúdo gerado automaticamente. Para alterações, entre em contato com o provedor da solução.
Atributos do conector
| Atributo do conector | Description |
|---|---|
| Alias de função Kusto | Fortinet_FortiNDR_Cloud |
| URL da função Kusto | https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/Fortinet%20FortiNDR%20Cloud/Parsers/Fortinet_FortiNDR_Cloud.md |
| Tabela(s) do Log Analytics | FncEventsSuricata_CL FncEventsObservation_CL FncEventsDetections_CL |
| Suporte a regras de coleta de dados | Não é suportado atualmente |
| Apoiado por | Fortinet |
Exemplos de consulta
Fortinet FortiNDR Cloud Suricata Logs
FncEventsSuricata_CL
| sort by TimeGenerated desc
Logs de observação na nuvem Fortinet FortiNDR
FncEventsObservation_CL
| sort by TimeGenerated desc
Logs de deteções de nuvem Fortinet FortiNDR
FncEventsDetections_CL
| sort by TimeGenerated desc
Pré-requisitos
Para integrar com o Fortinet FortiNDR Cloud (usando o Azure Functions), certifique-se de ter:
- Permissões Microsoft.Web/sites: são necessárias permissões de leitura e gravação no Azure Functions para criar um Aplicativo de Função. Consulte a documentação para saber mais sobre o Azure Functions.
- Credenciais do MetaStream: AWS Access Key Id, AWS Secret Access Key, FortiNDR Cloud Account Code são necessárias para recuperar dados de eventos.
- Credenciais da API: FortiNDR Cloud API Token, FortiNDR Cloud Account UUID são necessários para recuperar dados de deteção.
Instruções de instalação do fornecedor
Nota
Esse conector usa o Azure Functions para se conectar à API do FortiNDR Cloud para extrair logs para o Microsoft Sentinel. Isso pode resultar em custos adicionais de ingestão de dados. Consulte a página de preços do Azure Functions para obter detalhes.
(Etapa opcional) Armazene com segurança a(s) chave(s) de autorização do espaço de trabalho e da API ou código(s) no Cofre de Chaves do Azure. O Azure Key Vault fornece um mecanismo seguro para armazenar e recuperar valores de chave. Siga estas instruções para usar o Azure Key Vault com um Aplicativo de Função do Azure.
Nota
Este conector usa um analisador baseado em uma função Kusto para normalizar campos. Siga estas etapas para criar o alias de função Kusto Fortinet_FortiNDR_Cloud.
PASSO 1 - Passos de configuração para a Fortinet FortiNDR Cloud Logs Collection
O provedor deve fornecer ou vincular a etapas detalhadas para configurar o ponto de extremidade da API 'NOME DO APLICATIVO NOME DO PROVEDOR' para que a Função do Azure possa se autenticar nele com êxito, obter sua chave de autorização ou token e extrair os logs do dispositivo para o Microsoft Sentinel.
ETAPA 2 - Escolha UMA das duas opções de implantação a seguir para implantar o conector e a Função do Azure associada
IMPORTANTE: Antes de implantar o conector Fortinet FortiNDR Cloud, tenha o ID do espaço de trabalho e a chave primária do espaço de trabalho (podem ser copiados do seguinte), bem como as credenciais da API do FortiNDR Cloud (disponíveis no gerenciamento de contas do FortiNDR Cloud), prontamente disponíveis.
Opção 1 - Modelo do Azure Resource Manager (ARM)
Use este método para a implantação automatizada do conector Fortinet FortiNDR Cloud.
Clique no botão Implantar no Azure abaixo.
Selecione a Subscrição, o Grupo de Recursos e a Localização preferidos.
Insira o ID do espaço de trabalho, Chave do espaço de trabalho, AwsAccessKeyId, AwsSecretAccessKey e/ou Outros campos obrigatórios.
Clique em Criar para implantar.
Opção 2 - Implantação manual do Azure Functions
Use as instruções passo a passo a seguir para implantar o Fortinet FortiNDR Cloud connector manualmente com o Azure Functions(Implantação via Visual Studio Code).
Próximos passos
Para obter mais informações, vá para a solução relacionada no Azure Marketplace.