Fortinet Fortigate との統合
Fortinet Fortigate を Sophos Central と統合して、解析のためにソフォスに警告を送信することができます。
このページでは、統合の概要を説明します。
Fortinet Fortigate 製品の概要
Fortinet の FortiGate は、高度な脅威保護とパフォーマンス最適化を提供する次世代ファイアウォールです。その統合プラットフォームは、さまざまなセキュリティおよびネットワーク機能を統合し、高度な脅威からユーザーを保護します。
ソフォス製品ドキュメント
取り込まれる内容
ソフォスで表示される警告の例:
Apache.Struts.2.ParametersInterceptor.Remote.Command.Execution
Squirrelly.Template.Engine.Express.Render.API.Code.Injection
Splunk.Enterprise.REST.Information.Disclosure
TinyWebGallery.Lang.File.Inclusion
SIP.Multiple.Single.Value.Required.Header.Field
完全に取り込まれる警告
次の警告を設定することを推奨します (重要度 warning
以上)。
forward-traffic
local-traffic
multicast-traffic
sniffer-traffic
anomaly
traffic
web
url-filter
log-all-url
web-filter-referer-log
フィルタリング
警告とログは、次のようにフィルタリングします。
エージェントフィルタ
- 有効な
CEF
を許可します。 - トラフィックログと waf パススルーログをドロップします。
- ログのみ、情報、通知レベルのメッセージをドロップします。
- さまざまなワイヤレス デバイスの状態メッセージをドロップします。
プラットフォームフィルタ
- さまざまな Active Directory 監査ログをドロップします。
- エラーレベルのメッセージをドロップします。
- 確認済みのさまざまなメッセージやセキュリティ関連以外のメッセージやログをドロップします。
- 大量および価値が低いと指定されたさまざまなメッセージをドロップします。
脅威マッピングの例
{"alertType": "SSL connection is blocked.", "threatId": "T1573", "threatName": "Encrypted Channel"}
{"alertType": "Cerber.Botnet", "threatId": "TA0011", "threatName": "Command and Control"}
{"alertType": "Apache.Log4j.Error.Log.Remote.Code.Execution", "threatId": "T1203", "threatName": "Exploitation for Client Execution"}
{"alertType": "Network.Service: DNS_Dynamic.Update", "threatId": "T1071.004", "threatName": "DNS"}
{"alertType": "Administrator NAME login failed from ssh(IP_ADDRESS) because admin concurrent is disabled", "threatId": "T1078", "threatName": "Valid Accounts"}