Integración de Fortinet FortiAnalyzer
Puede integrar Fortinet FortiAnalyzer con Sophos Central para que envíe informes a Sophos para su análisis.
Esta página presenta una visión general de la integración.
Nota
Esta integración permite a los productos FortiAnalyzer Appliance y VM Subscription reenviar datos a Sophos. Sin embargo, FortiAnalyzer Cloud no puede reenviar registros, incluidos los eventos de seguridad, por lo que no es compatible con esta integración. Consulte Limitaciones de FortiAnalyzer Cloud.
Resumen del producto Fortinet FortiAnalyzer
La plataforma FortiAnalyzer de Fortinet centraliza la recopilación e interpretación de los eventos de red. Sophos puede ingerir las alertas de firewall de Fortigate a través de FortiAnalyzer.
FortiGate es un firewall next-gen que ofrece protección frente a amenazas avanzadas y optimización del rendimiento. Su plataforma integrada consolida varias funciones de seguridad y de red, ofreciendo así al usuario protección frente a amenazas sofisticadas.
Documentos de Sophos
Integrar Fortinet FortiAnalyzer (API)
Datos que ingerimos
Ejemplos de alertas vistas por Sophos:
- Uso de aplicaciones de riesgo
- Tráfico web al dominio C2
- Malware proporcionado desde la dirección
- Tráfico al dominio de red de bots
- Registros de intrusión
- Cambios de configuración
Alertas ingeridas en su totalidad
Ingerimos eventos devueltos desde el endpoint /eventmgmt/adom
de FortiAnalyzer.
Filtrado
Consultamos la estación de trabajo eventmgmt/adom
.
Filtramos los resultados para eliminar los datos proporcionados en un formato no conforme.
Luego DESCARTAMOS alertas que coinciden con los siguientes tipos por tener poco interés:
",\\\\W+subject\\\\W+vpntunnel:*",
",\\\\W+subject\\\\W+Web request to Unrated blocked",
",\\\\W+subject\\\\W+IP scanning on Port: .* detected",
",\\\\W+subject\\\\W+SSL connection is exempted based on allowlist.",
",\\\\W+subject\\\\W+SSL connection is exempted based on address."
,"Link monitor: Interface .* was turned down",
"Link monitor: Interface .* was turned up",
"logdesc:Memory log full over final warning level",
"logdesc:Memory log full over second warning level",
"desc\\\\:Disk quota alert",
"desc\\\\:Disk quota warning",
",\\\\W+subject\\\\W+Insecure SSL Connection blocked",
Muestra de asignaciones de amenazas
El tipo de alerta se define de la siguiente manera:
Si el campo message
no está vacío, buscar un patrón regex especificado. En caso contrario, comprobar la existencia de los campos FTNTFGTattack
, ad.subtype
y cat
y asignar sus valores como corresponda. Si no se encuentran coincidencias, recortamos el campo message
.
Alertas de muestra:
{"alertType": "Fortigate had experienced an unexpected power off!"}
{"threatId": "T1562.001", "threatName": "Disable or Modify Tools"}
{"alertType": "Add dnsfilter.domain-filter N", "threatId": "TA0005", "threatName": "Defense Evasion"}