Zum Inhalt
Klicken Sie hier für Support-Informationen zu MDR.

Permalink für diese Seite

Verwenden Sie immer den folgenden Permalink, um auf diese Seite zu verweisen. Der Link bleibt auch in zukünftigen Versionen dieser Hilfe unverändert.

https://docs.sophos.com/central/customer/help/de-de/index.html?contextId=fortinet-fortianalyzer-overview

Integration von Fortinet FortiAnalyzer

Sie können Fortinet FortiAnalyzer in Sophos Central integrieren, sodass Berichte an Sophos zur Analyse gesendet werden.

Auf dieser Seite erhalten Sie einen Überblick über die Integration.

Note

Durch diese Integration können die FortiAnalyzer Appliance und VM-Abonnement-Produkte Daten an Sophos weiterleiten. FortiAnalyzer Cloud kann jedoch keine Protokolle weiterleiten, einschließlich Sicherheitsereignisse, und ist daher nicht mit dieser Integration kompatibel. Siehe Einschränkungen von FortiAnalyzer Cloud.

Produktübersicht zu Fortinet FortiAnalyzer

Die FortiAnalyzer Plattform von Fortinet zentralisiert die Erfassung und Interpretation von Netzwerkereignissen. Sophos kann Fortigate Firewall-Alerts über FortiAnalyzer erfassen.

Fortigate ist eine Firewall der nächsten Generation, die erweiterten Schutz vor Bedrohungen und Leistungsoptimierung bietet. Die integrierte Plattform konsolidiert verschiedene Sicherheits- und Netzwerkfunktionen und bietet Benutzern Schutz vor komplexen Bedrohungen.

Sophos-Dokumente

Fortinet FortiAnalyzer (API) integrieren

Was wir erfassen

Beispiel für Alerts, die Sophos gesehen hat:

  • Riskante Nutzung der App
  • Webverkehr zu C2-Domäne
  • Bereitstellung von Malware von der Adresse
  • Datenverkehr zu Botnet-Domäne
  • Intrusion-Protokolle
  • Konfigurationsänderungen

Alerts werden vollständig erfasst

Wir erfassen Ereignisse auf, die vom Fortianalyzer /eventmgmt/adom-Endpoint zurückgegeben werden.

Filterung

Wir fragen den Endpoint eventmgmt/adom.

Wir filtern die Ergebnisse, um Daten zu entfernen, die in einem nicht konformen Format bereitgestellt wurden.

Dann VERWERFEN wir Alerts, die mit folgenden Typen als nicht relevant übereinstimmen:

  • ",\\W+subject\\W+vpntunnel:*",
  • ",\\W+subject\\W+Web request to Unrated blocked",
  • ",\\W+subject\\W+IP scanning on Port: .* detected",
  • ",\\W+subject\\W+SSL connection is exempted based on allowlist.",
  • ",\\W+subject\\W+SSL connection is exempted based on address.",
  • „Link-Monitor: Schnittstelle .* wurde deaktiviert",
  • „Link-Monitor: Schnittstelle .* wurde aktiviert",
  • "logdesc:Memory log full over final warning level",
  • "logdesc:Memory log full over second warning level",
  • "desc\\:Disk quota alert",
  • "desc\\:Disk quota warning",
  • ",\\W+subject\\W+Insecure SSL Connection blocked",

Beispiele für Bedrohungszuordnungen

Der Alert-Typ wird wie folgt definiert:

Wenn das Feld message nicht leer ist, suchen wir nach einem angegebenen Regex-Muster. Andernfalls prüfen wir, ob die Felder FTNTFGTattack, ad.subtype und cat vorhanden sind und weisen die entsprechenden Werte zu. Wenn keine Übereinstimmungen gefunden werden, schneiden wir das message Feld ab.

Beispiel-Alerts:

{"alertType": "Fortigate had experienced an unexpected power off!"}
{"threatId": "T1562.001", "threatName": "Disable or Modify Tools"}
{"alertType": "Add dnsfilter.domain-filter N", "threatId": "TA0005", "threatName": "Defense Evasion"}

Herstellerdokumentation

Administratoren erstellen