本文介紹了如何將 Fortinet 設備連接到 Azure Sentinel。?Fortinet 數據連接器可讓你輕松地將 Fortinet 日志連接到 Azure Sentinel，查看儀表板、創建自定義警報和改進調查。?使用 Azure 上的 Fortinet 可以更深入地了解組織的 Internet 使用情況，并增強其安全性操作功能。

工作原理

需要在專用 Linux 計算機（VM 或本地）上部署代理，以支持 Fortinet 和 Azure Sentinel 之間的通信。?下圖說明了 Azure 中 Linux VM 的情況下的設置。

或者，如果你在其他云中或本地計算機中使用 VM，則會存在此設置。

安全注意事項

請確保根據組織的安全策略配置計算機的安全性。?例如，你可以將網絡配置為與你的企業網絡安全策略一致，并更改守護程序中的端口和協議以符合你的要求。?你可以使用以下說明來改善計算機安全配置：??Azure 中的安全 VM、網絡安全的最佳做法。

若要在安全解決方案和 Syslog 計算機之間使用 TLS 通信，需要將 Syslog 守護程序（rsyslog 或 syslog-ng）配置為在 TLS 中進行通信：使用 tls Rsyslog 加密 Syslog 流量，使用 tls 加密日志消息–syslog-ng。

必備組件

請確保用作代理的 Linux 計算機運行的是以下操作系統之一：

• 64 位

  • CentOS 6 和 7
  • Amazon Linux 2017.09
  • Oracle Linux 6 和 7
  • Red Hat Enterprise Linux Server 6 和 7
  • Debian GNU/Linux 8 和 9
  • Ubuntu Linux 14.04 LTS、16.04 LTS 和 18.04 LTS
  • SUSE Linux Enterprise Server 12

• 32 位

  • CentOS 6
  • Oracle Linux 6
  • Red Hat Enterprise Linux Server 6
  • Debian GNU/Linux 8 和 9
  • Ubuntu Linux 14.04 LTS 和 16.04 LTS

• 守護程序版本

  • Syslog-ng： 2.1-3.22。1
  • Rsyslog： v8

• 支持的 Syslog Rfc

  • Syslog RFC 3164
  • Syslog RFC 5424

請確保您的計算機還滿足以下要求：

• 權限
  • 您的計算機上必須具有提升的權限（sudo）。
• 軟件要求
  • 請確保在計算機上運行 Python

步驟1：部署代理

在此步驟中，需要選擇將充當 Azure Sentinel 和安全解決方案之間代理的 Linux 計算機。?你將需要在代理計算機上運行腳本：

• 安裝 Log Analytics 代理，并根據需要對其進行配置，以便通過 TCP 偵聽端口514上的 Syslog 消息，并將 CEF 消息發送到 Azure Sentinel 工作區。
• 使用端口25226將 Syslog 守護程序配置為將 CEF 消息轉發到 Log Analytics 代理。
• 設置 Syslog 代理以收集數據并將其安全地發送到 Log Analytics，并對其進行分析和擴充。

在 Azure Sentinel 門戶中，單擊 "數據連接器"，然后選擇 "?Fortinet?"，然后單擊 "連接器" 頁。

在 "安裝并配置 Syslog 代理" 下，選擇你的計算機類型（Azure、其他云或本地）。

?備注

因為下一步中的腳本會安裝 Log Analytics 代理，并將計算機連接到 Azure Sentinel 工作區，請確保此計算機未連接到任何其他工作區。

您的計算機上必須具有提升的權限（sudo）。?請確保使用以下命令在計算機上具有 Python：?python –version

在代理計算機上運行以下腳本。?sudo wget https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/CEF/cef_installer.py&&sudo python cef_installer.py [WorkspaceID] [Workspace Primary Key]

腳本運行時，請檢查以確保沒有收到任何錯誤或警告消息。

步驟2：將 Fortinet 日志轉發到 Syslog 代理

配置 Fortinet 以通過 Syslog 代理將 CEF 格式的 Syslog 消息轉發到 Azure 工作區。

在 Fortinet 設備上打開 CLI，并運行以下命令：

復制

config log syslogd settingset format cefset port 514set reliable disableset server <ip_address_of_Receiver>set status enableend

• 將服務器ip 地址替換為代理的 ip 地址。
• 將syslog 端口設置為514或在代理上設置的端口。
• 若要在早期 FortiOS 版本中啟用 CEF 格式，你可能需要運行命令 set?csv disable。

?備注

有關詳細信息，請參閱Fortinet 文檔庫。?選擇版本，并使用手冊和日志消息參考。

若要使用 Fortinet 事件的 Azure Monitor Log Analytics 中的相關架構，請搜索 "CommonSecurityLog"。

步驟3：驗證連接性

打開 Log Analytics，確保使用 CommonSecurityLog 架構接收日志。
可能需要長達20分鐘的時間，日志才會開始出現在 Log Analytics 中。

在運行該腳本之前，我們建議您從安全解決方案發送消息，以確保將這些消息轉發到您配置的 Syslog 代理計算機。

您的計算機上必須具有提升的權限（sudo）。?請確保使用以下命令在計算機上具有 Python：?python –version

運行以下腳本，檢查代理、Azure Sentinel 和安全解決方案之間的連接。?它會檢查是否正確配置了守護程序轉發，偵聽了正確的端口，并且沒有阻止守護程序與 Log Analytics 代理之間的通信。?該腳本還會發送模擬消息 "TestCommonEventFormat" 來檢查端到端連接。?
sudo wget https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/CEF/cef_troubleshoot.py&&sudo python cef_troubleshoot.py [WorkspaceID]

后續步驟

本文介紹了如何將 Fortinet 設備連接到 Azure Sentinel。?要詳細了解 Azure Sentinel，請參閱以下文章：

• 了解如何了解你的數據以及潛在的威脅。
• 開始通過 Azure Sentinel 檢測威脅。

總結

以上是生活随笔為你收集整理的将 Fortinet 连接到的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。