Creación de reglas en Azure Sentinel para Fortigate

En la anterior entrada vimos como parsear los logs que nos llegan desde Fortigate.

En esta ocasión veremos como crear reglas en Azure Sentinel para que cuando detecte o bloque algún ataque nos genere una alerta.

Para ello vamos a utilizar las siguientes querys:


Forti | where (FTNTFGTseverity == "critical" or FTNTFGTseverity == "high" and act == "detected" or act == "reset")

Forti | where (FTNTFGTseverity == "medium" or FTNTFGTseverity == "warning" and act == "detected" or act == "reset")


Forti | where (FTNTFGTseverity == "critical" or FTNTFGTseverity == "High" and act == "dropped" or act == "blocked")

Forti | where (FTNTFGTseverity == "medium" or FTNTFGTseverity == "warning" and act == "dropped" or act == "blocked")

Para que no se alargue excesivamente la entrada únicamente mostraré como se hace una regla. Pero debéis realizar una regla por cada query que os mostré en el punto anterior.

Para configurar nuestra regla tenemos que ir a: Azure Sentinel > seleccionamos nuestro workspace > Analytics > Create > Scheduled query rule

Configuramos el nombre, una breve descripción de la regla, la categorización y por ultimo el nivel de severidad que en mi caso le voy a poner como medio

Configuramos la siguiente query (La cual se encuentran al principio)

En la siguiente pantalla podemos configurar como agrupar las alertas

El penúltimo punto con el cual nos encontramos el Active Response, el cual nos permite agregar un paybook.  De momento no vamos a realizar esta configuración.

Por ultimo, creamos la regla.

Comprobamos el correcto funcionamiento de la regla.

:wq!

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

*