Fortinet FortiGate集成

您可以將 Fortinet Fortigate 與 Sophos Central 整合，以便其將警示傳送到 Sophos 進行分析。

此頁面提供集成的概述。

Fortinet FortiGate產品概述

Fortinet 的 FortiGate 是新一代防火牆，可提供進階威脅保護和效能最佳化。其整合平台整合了各種安全和網路功能，為使用者提供針對複雜威脅的保護。

Sophos文檔

集成Fortinet FortiGate

我們攝取的東西

Sophos看到的示例警報：

• Apache.Struts.2.ParametersInterceptor.Remote.Command.Execution
• Squirrelly.Template.Engine.Express.Render.API.Code.Injection
• Splunk.Enterprise.REST.Information.Disclosure
• TinyWebGallery.Lang.File.Inclusion
• SIP.Multiple.Single.Value.Required.Header.Field

已擷取完整警示

我們建議您配置以下警報(嚴重性 warning 或更高)：

• forward-traffic
• local-traffic
• multicast-traffic
• sniffer-traffic
• anomaly
• traffic
• web
• url-filter
• log-all-url
• web-filter-referer-log

篩選

我們按如下方式篩選警報和日誌。

代理過濾器

• 我們允許有效 CEF。
• 我們丟棄流量日誌和WAF傳遞日誌。
• 我們刪除僅記錄，資訊和通知級別的消息。
• 我們刪除各種無線設備狀態消息。

平台過濾器

• 我們丟棄各種Active Directory審核日誌。
• 刪除錯誤級別消息。
• 我們會刪除各種已審核和非安全相關的消息和日誌。
• 我們丟棄各種高容量和低值指定的消息

威脅映射示例

{"alertType": "SSL connection is blocked.", "threatId": "T1573", "threatName": "Encrypted Channel"}
{"alertType": "Cerber.Botnet", "threatId": "TA0011", "threatName": "Command and Control"}
{"alertType": "Apache.Log4j.Error.Log.Remote.Code.Execution", "threatId": "T1203", "threatName": "Exploitation for Client Execution"}
{"alertType": "Network.Service: DNS_Dynamic.Update", "threatId": "T1071.004", "threatName": "DNS"}
{"alertType": "Administrator NAME login failed from ssh(IP_ADDRESS) because admin concurrent is disabled", "threatId": "T1078", "threatName": "Valid Accounts"}