本文介紹了如何將 Fortinet 設(shè)備連接到 Azure Sentinel。?Fortinet 數(shù)據(jù)連接器可讓你輕松地將 Fortinet 日志連接到 Azure Sentinel，查看儀表板、創(chuàng)建自定義警報(bào)和改進(jìn)調(diào)查。?使用 Azure 上的 Fortinet 可以更深入地了解組織的 Internet 使用情況，并增強(qiáng)其安全性操作功能。

工作原理

需要在專用 Linux 計(jì)算機(jī)（VM 或本地）上部署代理，以支持 Fortinet 和 Azure Sentinel 之間的通信。?下圖說(shuō)明了 Azure 中 Linux VM 的情況下的設(shè)置。

或者，如果你在其他云中或本地計(jì)算機(jī)中使用 VM，則會(huì)存在此設(shè)置。

安全注意事項(xiàng)

請(qǐng)確保根據(jù)組織的安全策略配置計(jì)算機(jī)的安全性。?例如，你可以將網(wǎng)絡(luò)配置為與你的企業(yè)網(wǎng)絡(luò)安全策略一致，并更改守護(hù)程序中的端口和協(xié)議以符合你的要求。?你可以使用以下說(shuō)明來(lái)改善計(jì)算機(jī)安全配置：??Azure 中的安全 VM、網(wǎng)絡(luò)安全的最佳做法。

若要在安全解決方案和 Syslog 計(jì)算機(jī)之間使用 TLS 通信，需要將 Syslog 守護(hù)程序（rsyslog 或 syslog-ng）配置為在 TLS 中進(jìn)行通信：使用 tls Rsyslog 加密 Syslog 流量，使用 tls 加密日志消息–syslog-ng。

必備組件

請(qǐng)確保用作代理的 Linux 計(jì)算機(jī)運(yùn)行的是以下操作系統(tǒng)之一：

• 64 位

  • CentOS 6 和 7
  • Amazon Linux 2017.09
  • Oracle Linux 6 和 7
  • Red Hat Enterprise Linux Server 6 和 7
  • Debian GNU/Linux 8 和 9
  • Ubuntu Linux 14.04 LTS、16.04 LTS 和 18.04 LTS
  • SUSE Linux Enterprise Server 12

• 32 位

  • CentOS 6
  • Oracle Linux 6
  • Red Hat Enterprise Linux Server 6
  • Debian GNU/Linux 8 和 9
  • Ubuntu Linux 14.04 LTS 和 16.04 LTS

• 守護(hù)程序版本

  • Syslog-ng： 2.1-3.22。1
  • Rsyslog： v8

• 支持的 Syslog Rfc

  • Syslog RFC 3164
  • Syslog RFC 5424

請(qǐng)確保您的計(jì)算機(jī)還滿足以下要求：

• 權(quán)限
  • 您的計(jì)算機(jī)上必須具有提升的權(quán)限（sudo）。
• 軟件要求
  • 請(qǐng)確保在計(jì)算機(jī)上運(yùn)行 Python

步驟1：部署代理

在此步驟中，需要選擇將充當(dāng) Azure Sentinel 和安全解決方案之間代理的 Linux 計(jì)算機(jī)。?你將需要在代理計(jì)算機(jī)上運(yùn)行腳本：

• 安裝 Log Analytics 代理，并根據(jù)需要對(duì)其進(jìn)行配置，以便通過(guò) TCP 偵聽(tīng)端口514上的 Syslog 消息，并將 CEF 消息發(fā)送到 Azure Sentinel 工作區(qū)。
• 使用端口25226將 Syslog 守護(hù)程序配置為將 CEF 消息轉(zhuǎn)發(fā)到 Log Analytics 代理。
• 設(shè)置 Syslog 代理以收集數(shù)據(jù)并將其安全地發(fā)送到 Log Analytics，并對(duì)其進(jìn)行分析和擴(kuò)充。

在 Azure Sentinel 門戶中，單擊 "數(shù)據(jù)連接器"，然后選擇 "?Fortinet?"，然后單擊 "連接器" 頁(yè)。

在 "安裝并配置 Syslog 代理" 下，選擇你的計(jì)算機(jī)類型（Azure、其他云或本地）。

?備注

因?yàn)橄乱徊街械哪_本會(huì)安裝 Log Analytics 代理，并將計(jì)算機(jī)連接到 Azure Sentinel 工作區(qū)，請(qǐng)確保此計(jì)算機(jī)未連接到任何其他工作區(qū)。

您的計(jì)算機(jī)上必須具有提升的權(quán)限（sudo）。?請(qǐng)確保使用以下命令在計(jì)算機(jī)上具有 Python：?python –version

在代理計(jì)算機(jī)上運(yùn)行以下腳本。?sudo wget https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/CEF/cef_installer.py&&sudo python cef_installer.py [WorkspaceID] [Workspace Primary Key]

腳本運(yùn)行時(shí)，請(qǐng)檢查以確保沒(méi)有收到任何錯(cuò)誤或警告消息。

步驟2：將 Fortinet 日志轉(zhuǎn)發(fā)到 Syslog 代理

配置 Fortinet 以通過(guò) Syslog 代理將 CEF 格式的 Syslog 消息轉(zhuǎn)發(fā)到 Azure 工作區(qū)。

在 Fortinet 設(shè)備上打開(kāi) CLI，并運(yùn)行以下命令：

復(fù)制

config log syslogd settingset format cefset port 514set reliable disableset server <ip_address_of_Receiver>set status enableend

• 將服務(wù)器ip 地址替換為代理的 ip 地址。
• 將syslog 端口設(shè)置為514或在代理上設(shè)置的端口。
• 若要在早期 FortiOS 版本中啟用 CEF 格式，你可能需要運(yùn)行命令 set?csv disable。

?備注

有關(guān)詳細(xì)信息，請(qǐng)參閱Fortinet 文檔庫(kù)。?選擇版本，并使用手冊(cè)和日志消息參考。

若要使用 Fortinet 事件的 Azure Monitor Log Analytics 中的相關(guān)架構(gòu)，請(qǐng)搜索 "CommonSecurityLog"。

步驟3：驗(yàn)證連接性

打開(kāi) Log Analytics，確保使用 CommonSecurityLog 架構(gòu)接收日志。
可能需要長(zhǎng)達(dá)20分鐘的時(shí)間，日志才會(huì)開(kāi)始出現(xiàn)在 Log Analytics 中。

在運(yùn)行該腳本之前，我們建議您從安全解決方案發(fā)送消息，以確保將這些消息轉(zhuǎn)發(fā)到您配置的 Syslog 代理計(jì)算機(jī)。

您的計(jì)算機(jī)上必須具有提升的權(quán)限（sudo）。?請(qǐng)確保使用以下命令在計(jì)算機(jī)上具有 Python：?python –version

運(yùn)行以下腳本，檢查代理、Azure Sentinel 和安全解決方案之間的連接。?它會(huì)檢查是否正確配置了守護(hù)程序轉(zhuǎn)發(fā)，偵聽(tīng)了正確的端口，并且沒(méi)有阻止守護(hù)程序與 Log Analytics 代理之間的通信。?該腳本還會(huì)發(fā)送模擬消息 "TestCommonEventFormat" 來(lái)檢查端到端連接。?
sudo wget https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/CEF/cef_troubleshoot.py&&sudo python cef_troubleshoot.py [WorkspaceID]

后續(xù)步驟

本文介紹了如何將 Fortinet 設(shè)備連接到 Azure Sentinel。?要詳細(xì)了解 Azure Sentinel，請(qǐng)參閱以下文章：

• 了解如何了解你的數(shù)據(jù)以及潛在的威脅。
• 開(kāi)始通過(guò) Azure Sentinel 檢測(cè)威脅。

總結(jié)

以上是生活随笔為你收集整理的将 Fortinet 连接到的全部?jī)?nèi)容，希望文章能夠幫你解決所遇到的問(wèn)題。

如果覺(jué)得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。