阿里云服务器 wordpress,整站优化工具,做个模板网站多少钱,北京手机网站制作哪家好本文介绍了如何将 Fortinet 设备连接到 Azure Sentinel。 Fortinet 数据连接器可让你轻松地将 Fortinet 日志连接到 Azure Sentinel#xff0c;查看仪表板、创建自定义警报和改进调查。 使用 Azure 上的 Fortinet 可以更深入地了解组织的 Internet 使用情况#xff0c;并增强…本文介绍了如何将 Fortinet 设备连接到 Azure Sentinel。 Fortinet 数据连接器可让你轻松地将 Fortinet 日志连接到 Azure Sentinel查看仪表板、创建自定义警报和改进调查。 使用 Azure 上的 Fortinet 可以更深入地了解组织的 Internet 使用情况并增强其安全性操作功能。
工作原理
需要在专用 Linux 计算机VM 或本地上部署代理以支持 Fortinet 和 Azure Sentinel 之间的通信。 下图说明了 Azure 中 Linux VM 的情况下的设置。 或者如果你在其他云中或本地计算机中使用 VM则会存在此设置。 安全注意事项
请确保根据组织的安全策略配置计算机的安全性。 例如你可以将网络配置为与你的企业网络安全策略一致并更改守护程序中的端口和协议以符合你的要求。 你可以使用以下说明来改善计算机安全配置 Azure 中的安全 VM、网络安全的最佳做法。
若要在安全解决方案和 Syslog 计算机之间使用 TLS 通信需要将 Syslog 守护程序rsyslog 或 syslog-ng配置为在 TLS 中进行通信使用 tls Rsyslog 加密 Syslog 流量使用 tls 加密日志消息–syslog-ng。
必备组件
请确保用作代理的 Linux 计算机运行的是以下操作系统之一 64 位 CentOS 6 和 7Amazon Linux 2017.09Oracle Linux 6 和 7Red Hat Enterprise Linux Server 6 和 7Debian GNU/Linux 8 和 9Ubuntu Linux 14.04 LTS、16.04 LTS 和 18.04 LTSSUSE Linux Enterprise Server 12 32 位 CentOS 6Oracle Linux 6Red Hat Enterprise Linux Server 6Debian GNU/Linux 8 和 9Ubuntu Linux 14.04 LTS 和 16.04 LTS 守护程序版本 Syslog-ng 2.1-3.22。1Rsyslog v8 支持的 Syslog Rfc Syslog RFC 3164Syslog RFC 5424
请确保您的计算机还满足以下要求
权限 您的计算机上必须具有提升的权限sudo。软件要求 请确保在计算机上运行 Python
步骤1部署代理
在此步骤中需要选择将充当 Azure Sentinel 和安全解决方案之间代理的 Linux 计算机。 你将需要在代理计算机上运行脚本
安装 Log Analytics 代理并根据需要对其进行配置以便通过 TCP 侦听端口514上的 Syslog 消息并将 CEF 消息发送到 Azure Sentinel 工作区。使用端口25226将 Syslog 守护程序配置为将 CEF 消息转发到 Log Analytics 代理。设置 Syslog 代理以收集数据并将其安全地发送到 Log Analytics并对其进行分析和扩充。在 Azure Sentinel 门户中单击 数据连接器然后选择 Fortinet 然后单击 连接器 页。 在 安装并配置 Syslog 代理 下选择你的计算机类型Azure、其他云或本地。 备注 因为下一步中的脚本会安装 Log Analytics 代理并将计算机连接到 Azure Sentinel 工作区请确保此计算机未连接到任何其他工作区。 您的计算机上必须具有提升的权限sudo。 请确保使用以下命令在计算机上具有 Python python –version 在代理计算机上运行以下脚本。 sudo wget https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/CEF/cef_installer.pysudo python cef_installer.py [WorkspaceID] [Workspace Primary Key] 脚本运行时请检查以确保没有收到任何错误或警告消息。
步骤2将 Fortinet 日志转发到 Syslog 代理
配置 Fortinet 以通过 Syslog 代理将 CEF 格式的 Syslog 消息转发到 Azure 工作区。 在 Fortinet 设备上打开 CLI并运行以下命令 复制 config log syslogd settingset format cefset port 514set reliable disableset server ip_address_of_Receiverset status enableend将服务器ip 地址替换为代理的 ip 地址。将syslog 端口设置为514或在代理上设置的端口。若要在早期 FortiOS 版本中启用 CEF 格式你可能需要运行命令 set csv disable。 备注 有关详细信息请参阅Fortinet 文档库。 选择版本并使用手册和日志消息参考。
若要使用 Fortinet 事件的 Azure Monitor Log Analytics 中的相关架构请搜索 CommonSecurityLog。
步骤3验证连接性 打开 Log Analytics确保使用 CommonSecurityLog 架构接收日志。 可能需要长达20分钟的时间日志才会开始出现在 Log Analytics 中。 在运行该脚本之前我们建议您从安全解决方案发送消息以确保将这些消息转发到您配置的 Syslog 代理计算机。 您的计算机上必须具有提升的权限sudo。 请确保使用以下命令在计算机上具有 Python python –version 运行以下脚本检查代理、Azure Sentinel 和安全解决方案之间的连接。 它会检查是否正确配置了守护程序转发侦听了正确的端口并且没有阻止守护程序与 Log Analytics 代理之间的通信。 该脚本还会发送模拟消息 TestCommonEventFormat 来检查端到端连接。 sudo wget https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/CEF/cef_troubleshoot.pysudo python cef_troubleshoot.py [WorkspaceID]
后续步骤
本文介绍了如何将 Fortinet 设备连接到 Azure Sentinel。 要详细了解 Azure Sentinel请参阅以下文章
了解如何了解你的数据以及潜在的威胁。开始通过 Azure Sentinel 检测威胁。
