Conectar datos de Fortinet a Azure Sentinel

En anteriores entradas ya vimos como  Configurar un  reenviador de Syslog en Azure Sentinel en esta ocasión utilizaremos ese reenviador para conectar Fortinet con el Workspace. 

En primer lugar, debemos configurar  Fortinet para reenviar mensajes de Syslog en formato CEF (Por defecto ya lo envía en formato CEF) a nuestra área de trabajo de Azure a través del agente de Syslog (El reenviador configurado anteriormente).

config log syslogd setting
set port 514
set server <ip_address_of_Receiver>
set status enable
end

Una vez configurado, debemos acceder a nuestro servidor que esta realizando la funcionalidad de reenviador y ejecutar el script el cual comprueba el estado 

sudo wget https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/CEF/cef_troubleshoot.py&&sudo python cef_troubleshoot.py  [workspaceID]

Este script nos comprueba que este el servicio de rsyslog y en reenviador CEF configurado correctamente. Así mismo realiza un tcpdump al puerto 514 y 25226 para comprobar si esta recibiendo información.

Una vez comprobado el correcto funcionamiento nos vamos a: Azure sentinel > seleccionamos nuestro workspace > Data connections > Forti > Open Connector Opage 

Nos abre una pagina en donde nos explica detalladamente los pasos a seguir para configurar todo, si apreciamos cada uno de esos pasos son los mismos pasos que hicimos al Configurar el  reenviador de Syslog en la entrada anterior, por lo tanto presionamos sobre la pestaña Next steps

En Next steps nos realiza una serie de recomendaciones, en primer lugar la configuración de workbook

Para configurar el Workbook de Forti únicamente lo seleccionamos y presionamos en save en la parte inferior derecha. Una vez guardado podemos presionar View saved workbook para poder visualizar el dashboard.

Volvemos nuevamente a Next steps y podemos presionar sobre las diferentes querys para comprobar que estamos recibiendo los datos correctamente. 

También podemos crear las reglas que nos sugieren o crear unas propias

:wq!

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

*