Pular para o conteúdo
Saiba como oferecemos suporte ao MDR.

Permalink da página

Sempre use o permalink a seguir ao fazer referência a esta página. Ele permanecerá inalterado nas versões de ajuda futuras.

https://docs.sophos.com/central/customer/help/pt-br/index.html?contextId=fortinet-fortigate-overview

Integração do Fortinet Fortigate

Coletor de log Firewall

Você pode integrar o Fortinet Fortigate ao Sophos Central para o envio de alertas à Sophos para análise.

Esta página lhe dá uma visão geral da integração.

Visão geral do produto Fortinet Fortigate

O FortiGate da Fortinet é um firewall de última geração que oferece proteção contra ameaças avançadas e otimização de desempenho. Sua plataforma integrada consolida várias funções de segurança e rede, oferecendo aos usuários proteção contra ameaças sofisticadas.

Documentação da Sophos

Integrar Fortinet FortiGate

O que ingerimos

Exemplos de alertas vistos pela Sophos:

  • Apache.Struts.2.ParametersInterceptor.Remote.Command.Execution
  • Squirrelly.Template.Engine.Express.Render.API.Code.Injection
  • Splunk.Enterprise.REST.Information.Disclosure
  • TinyWebGallery.Lang.File.Inclusion
  • SIP.Multiple.Single.Value.Required.Header.Field

Alertas ingeridos na íntegra

Recomendamos configurar os seguintes alertas (com gravidade warning ou superior):

  • forward-traffic
  • local-traffic
  • multicast-traffic
  • sniffer-traffic
  • anomaly
  • traffic
  • web
  • url-filter
  • log-all-url
  • web-filter-referer-log

Filtragem

Filtramos alertas e logs da seguinte forma.

Filtro de agente

  • PERMITIMOS o CEF válido.
  • DESCARTAMOS logs de tráfego e os logs de passagem waf.
  • DESCARTAMOS mensagens de nível somente de log, informativo e aviso.
  • DESCARTAMOS várias mensagens de status do dispositivo sem fio.

Filtro da plataforma

  • DESCARTAMOS vários logs de auditoria do Active Directory.
  • DESCARTAMOS mensagens de nível de erro.
  • DESCARTAMOS várias mensagens e logs revisados e não relacionados à segurança.
  • DESCARTAMOS várias mensagens especificadas de alto volume e baixo valor.

Amostra de mapeamentos de ameaças

{"alertType": "SSL connection is blocked.", "threatId": "T1573", "threatName": "Encrypted Channel"}
{"alertType": "Cerber.Botnet", "threatId": "TA0011", "threatName": "Command and Control"}
{"alertType": "Apache.Log4j.Error.Log.Remote.Code.Execution", "threatId": "T1203", "threatName": "Exploitation for Client Execution"}
{"alertType": "Network.Service: DNS_Dynamic.Update", "threatId": "T1071.004", "threatName": "DNS"}
{"alertType": "Administrator NAME login failed from ssh(IP_ADDRESS) because admin concurrent is disabled", "threatId": "T1078", "threatName": "Valid Accounts"}