Fortinet Fortigate 통합

Sophos Central에 Fortinet Fortigate를 통합하면 Sophos로 경고를 전송하여 분석할 수 있습니다.

이 페이지에서는 통합에 대한 개요를 제공합니다.

포티넷 포티게이트 제품 개요

Fortinet의 FortiGate는 지능형 위협 보호 및 성능 최적화를 제공하는 차세대 방화벽입니다. Fortigate 통합 플랫폼은 다양한 보안 및 네트워킹 기능을 통합하여 정교한 위협으로부터 사용자를 보호합니다.

Sophos 문서

Fortinet FortiGate를 통합합니다.

수집되는 것

Sophos에서 볼 수 있는 샘플 경고:

• Apache.Struts.2.ParametersInterceptor.Remote.Command.Execution
• Squirrelly.Template.Engine.Express.Render.API.Code.Injection
• Splunk.Enterprise.REST.Information.Disclosure
• TinyWebGallery.Lang.File.Inclusion
• SIP.Multiple.Single.Value.Required.Header.Field

완전히 수집되는 경고

다음과 같은 알림을 (경고 수준 이상으로) 설정하는 것을 권장합니다.

• forward-traffic
• local-traffic
• multicast-traffic
• sniffer-traffic
• anomaly
• traffic
• web
• url-filter
• log-all-url
• web-filter-referer-log

필터링

저희는 다음과 같이 알림 및 로그를 필터링합니다.

에이전트 필터

• 유효한 CEF 파일 시스템 사용을 허용합니다.
• 저희는 트래픽 로그와 WAF 패스스루 로그를 삭제합니다.
• 저희는 로그 전용 메시지, 정보 메시지, 알림 메시지는 삭제합니다.
• 저희는 다양한 무선 장치 상태 메시지를 삭제합니다.

플랫폼 필터

• 저희는 다양한 Active Directory 감사 로그를 삭제합니다.
• 오류 수준 메시지는 삭제합니다.
• 저희는 검토를 거친 다양한 비보안 관련 메시지와 로그를 삭제합니다.
• 우리는 특정된 대량 메시지와 저가치 메시지를 삭제합니다.

샘플 위협 매핑

{"alertType": "SSL connection is blocked.", "threatId": "T1573", "threatName": "Encrypted Channel"}
{"alertType": "Cerber.Botnet", "threatId": "TA0011", "threatName": "Command and Control"}
{"alertType": "Apache.Log4j.Error.Log.Remote.Code.Execution", "threatId": "T1203", "threatName": "Exploitation for Client Execution"}
{"alertType": "Network.Service: DNS_Dynamic.Update", "threatId": "T1071.004", "threatName": "DNS"}
{"alertType": "Administrator NAME login failed from ssh(IP_ADDRESS) because admin concurrent is disabled", "threatId": "T1078", "threatName": "Valid Accounts"}