Saltar al contenido
Descubra cómo respaldamos el servicio MDR.

Integración de Fortinet FortiAnalyzer

Puede integrar Fortinet FortiAnalyzer con Sophos Central para que envíe informes a Sophos para su análisis.

Esta página presenta una visión general de la integración.

Nota

Esta integración permite a los productos FortiAnalyzer Appliance y VM Subscription reenviar datos a Sophos. Sin embargo, FortiAnalyzer Cloud no puede reenviar registros, incluidos los eventos de seguridad, por lo que no es compatible con esta integración. Consulte Limitaciones de FortiAnalyzer Cloud.

Resumen del producto Fortinet FortiAnalyzer

La plataforma FortiAnalyzer de Fortinet centraliza la recopilación e interpretación de los eventos de red. Sophos puede ingerir las alertas de firewall de Fortigate a través de FortiAnalyzer.

FortiGate es un firewall next-gen que ofrece protección frente a amenazas avanzadas y optimización del rendimiento. Su plataforma integrada consolida varias funciones de seguridad y de red, ofreciendo así al usuario protección frente a amenazas sofisticadas.

Documentos de Sophos

Integrar Fortinet FortiAnalyzer (API)

Datos que ingerimos

Ejemplos de alertas vistas por Sophos:

  • Uso de aplicaciones de riesgo
  • Tráfico web al dominio C2
  • Malware proporcionado desde la dirección
  • Tráfico al dominio de red de bots
  • Registros de intrusión
  • Cambios de configuración

Alertas ingeridas en su totalidad

Ingerimos eventos devueltos desde el endpoint /eventmgmt/adom de FortiAnalyzer.

Filtrado

Consultamos la estación de trabajo eventmgmt/adom.

Filtramos los resultados para eliminar los datos proporcionados en un formato no conforme.

Luego DESCARTAMOS alertas que coinciden con los siguientes tipos por tener poco interés:

  • ",\\\\W+subject\\\\W+vpntunnel:*",
  • ",\\\\W+subject\\\\W+Web request to Unrated blocked",
  • ",\\\\W+subject\\\\W+IP scanning on Port: .* detected",
  • ",\\\\W+subject\\\\W+SSL connection is exempted based on allowlist.",
  • ",\\\\W+subject\\\\W+SSL connection is exempted based on address.",
  • "Link monitor: Interface .* was turned down",
  • "Link monitor: Interface .* was turned up",
  • "logdesc:Memory log full over final warning level",
  • "logdesc:Memory log full over second warning level",
  • "desc\\\\:Disk quota alert",
  • "desc\\\\:Disk quota warning",
  • ",\\\\W+subject\\\\W+Insecure SSL Connection blocked",

Muestra de asignaciones de amenazas

El tipo de alerta se define de la siguiente manera:

Si el campo message no está vacío, buscar un patrón regex especificado. En caso contrario, comprobar la existencia de los campos FTNTFGTattack, ad.subtype y cat y asignar sus valores como corresponda. Si no se encuentran coincidencias, recortamos el campo message.

Alertas de muestra:

{"alertType": "Fortigate had experienced an unexpected power off!"}
{"threatId": "T1562.001", "threatName": "Disable or Modify Tools"}
{"alertType": "Add dnsfilter.domain-filter N", "threatId": "TA0005", "threatName": "Defense Evasion"}

Documentación del proveedor

Creación de administradores