En anteriores entradas ya vimos como Configurar un reenviador de Syslog en Azure Sentinel en esta ocasión utilizaremos ese reenviador para conectar Fortinet con el Workspace.
En primer lugar, debemos configurar Fortinet para reenviar mensajes de Syslog en formato CEF (Por defecto ya lo envía en formato CEF) a nuestra área de trabajo de Azure a través del agente de Syslog (El reenviador configurado anteriormente).
config log syslogd setting
set port 514
set server <ip_address_of_Receiver>
set status enable
end
Una vez configurado, debemos acceder a nuestro servidor que esta realizando la funcionalidad de reenviador y ejecutar el script el cual comprueba el estado
sudo wget https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/CEF/cef_troubleshoot.py&&sudo python cef_troubleshoot.py [workspaceID]Este script nos comprueba que este el servicio de rsyslog y en reenviador CEF configurado correctamente. Así mismo realiza un tcpdump al puerto 514 y 25226 para comprobar si esta recibiendo información.
Una vez comprobado el correcto funcionamiento nos vamos a: Azure sentinel > seleccionamos nuestro workspace > Data connections > Forti > Open Connector Opage
Nos abre una pagina en donde nos explica detalladamente los pasos a seguir para configurar todo, si apreciamos cada uno de esos pasos son los mismos pasos que hicimos al Configurar el reenviador de Syslog en la entrada anterior, por lo tanto presionamos sobre la pestaña Next steps
En Next steps nos realiza una serie de recomendaciones, en primer lugar la configuración de workbook
Para configurar el Workbook de Forti únicamente lo seleccionamos y presionamos en save en la parte inferior derecha. Una vez guardado podemos presionar View saved workbook para poder visualizar el dashboard.
Volvemos nuevamente a Next steps y podemos presionar sobre las diferentes querys para comprobar que estamos recibiendo los datos correctamente.
También podemos crear las reglas que nos sugieren o crear unas propias
:wq!