Fortinet Fortigate 통합
Sophos Central에 Fortinet Fortigate를 통합하면 Sophos로 경고를 전송하여 분석할 수 있습니다.
이 페이지에서는 통합에 대한 개요를 제공합니다.
Fortinet Fortigate 제품 개요
Fortinet의 FortiGate는 지능형 위협 보호 및 성능 최적화를 제공하는 차세대 방화벽입니다. Fortigate 통합 플랫폼은 다양한 보안 및 네트워킹 기능을 통합하여 정교한 위협으로부터 사용자를 보호합니다.
Sophos 문서
우리가 섭취하는 것
Sophos에서 볼 수 있는 샘플 경고:
Apache.Struts.2.ParametersInterceptor.Remote.Command.ExecutionSquirrelly.Template.Engine.Express.Render.API.Code.InjectionSplunk.Enterprise.REST.Information.DisclosureTinyWebGallery.Lang.File.InclusionSIP.Multiple.Single.Value.Required.Header.Field
알림이 완전히 수집됨
다음 경고를 구성하는 것이 좋습니다(심각도 warning 이상).
forward-trafficlocal-trafficmulticast-trafficsniffer-trafficanomalytrafficweburl-filterlog-all-urlweb-filter-referer-log
필터링
알림과 로그를 다음과 같이 필터링합니다.
마취제 필터
- 우리는 유효한 허용합니다.
CEF - 트래픽 로그 및 WAF 패스스루 로그를 삭제합니다.
- 로그 전용, 정보 및 알림 수준 메시지를 삭제합니다.
- 다양한 무선 장치 상태 메시지를 삭제합니다.
플랫폼 필터
- 다양한 Active Directory 감사 로그를 삭제합니다.
- 오류 수준 메시지를 삭제합니다.
- 우리는 다양한 검토 및 비보안 관련 메시지와 로그를 삭제합니다.
- 다양한 대용량 및 저가치 지정 메시지를 삭제합니다.
위협 매핑 샘플
{"alertType": "SSL connection is blocked.", "threatId": "T1573", "threatName": "Encrypted Channel"}
{"alertType": "Cerber.Botnet", "threatId": "TA0011", "threatName": "Command and Control"}
{"alertType": "Apache.Log4j.Error.Log.Remote.Code.Execution", "threatId": "T1203", "threatName": "Exploitation for Client Execution"}
{"alertType": "Network.Service: DNS_Dynamic.Update", "threatId": "T1071.004", "threatName": "DNS"}
{"alertType": "Administrator NAME login failed from ssh(IP_ADDRESS) because admin concurrent is disabled", "threatId": "T1078", "threatName": "Valid Accounts"}