コンテンツにスキップ
MDR のサポート提供の詳細をご確認ください。

Fortinet Fortigate との統合

Fortinet Fortigate を Sophos Central と統合して、解析のためにソフォスに警告を送信することができます。

このページでは、統合の概要を説明します。

Fortinet Fortigate 製品の概要

Fortinet の FortiGate は、高度な脅威保護とパフォーマンス最適化を提供する次世代ファイアウォールです。その統合プラットフォームは、さまざまなセキュリティおよびネットワーク機能を統合し、高度な脅威からユーザーを保護します。

ソフォス製品ドキュメント

Fortinet FortiGate の統合

取り込まれる内容

ソフォスで表示される警告の例:

  • Apache.Struts.2.ParametersInterceptor.Remote.Command.Execution
  • Squirrelly.Template.Engine.Express.Render.API.Code.Injection
  • Splunk.Enterprise.REST.Information.Disclosure
  • TinyWebGallery.Lang.File.Inclusion
  • SIP.Multiple.Single.Value.Required.Header.Field

完全に取り込まれる警告

次の警告を設定することを推奨します (重要度 warning 以上)。

  • forward-traffic
  • local-traffic
  • multicast-traffic
  • sniffer-traffic
  • anomaly
  • traffic
  • web
  • url-filter
  • log-all-url
  • web-filter-referer-log

フィルタリング

警告とログは、次のようにフィルタリングします。

エージェントフィルタ

  • 有効な CEF を許可します。
  • トラフィックログと waf パススルーログをドロップします。
  • ログのみ、情報、通知レベルのメッセージをドロップします。
  • さまざまなワイヤレス デバイスの状態メッセージをドロップします。

プラットフォームフィルタ

  • さまざまな Active Directory 監査ログをドロップします。
  • エラーレベルのメッセージをドロップします。
  • 確認済みのさまざまなメッセージやセキュリティ関連以外のメッセージやログをドロップします。
  • 大量および価値が低いと指定されたさまざまなメッセージをドロップします。

脅威マッピングの例

{"alertType": "SSL connection is blocked.", "threatId": "T1573", "threatName": "Encrypted Channel"}
{"alertType": "Cerber.Botnet", "threatId": "TA0011", "threatName": "Command and Control"}
{"alertType": "Apache.Log4j.Error.Log.Remote.Code.Execution", "threatId": "T1203", "threatName": "Exploitation for Client Execution"}
{"alertType": "Network.Service: DNS_Dynamic.Update", "threatId": "T1071.004", "threatName": "DNS"}
{"alertType": "Administrator NAME login failed from ssh(IP_ADDRESS) because admin concurrent is disabled", "threatId": "T1078", "threatName": "Valid Accounts"}