Integration von Fortinet FortiAnalyzer
Sie können Fortinet FortiAnalyzer in Sophos Central integrieren, sodass Berichte an Sophos zur Analyse gesendet werden.
Auf dieser Seite erhalten Sie einen Überblick über die Integration.
Produktübersicht zu Fortinet FortiAnalyzer
Die FortiAnalyzer Plattform von Fortinet zentralisiert die Erfassung und Interpretation von Netzwerkereignissen. Sophos kann Fortigate Firewall-Alarme über FortiAnalyzer erfassen.
Fortigate ist eine Firewall der nächsten Generation, die erweiterten Schutz vor Bedrohungen und Leistungsoptimierung bietet. Die integrierte Plattform konsolidiert verschiedene Sicherheits- und Netzwerkfunktionen und bietet Benutzern Schutz vor komplexen Bedrohungen.
Sophos-Dokumente
Fortinet FortiAnalyzer (API) integrieren
Was wir erfassen
Beispiel für Warnmeldungen, die Sophos gesehen hat:
- Riskante Nutzung der App
- Webverkehr zu C2-Domäne
- Bereitstellung von Malware von der Adresse
- Datenverkehr zu Botnet-Domäne
- Intrusion-Protokolle
- Konfigurationsänderungen
Alarme werden vollständig erfasst
Wir erfassen Ereignisse auf, die vom Fortianalyzer /eventmgmt/adom
-Endpoint zurückgegeben werden.
Filterung
Wir fragen den Endpoint eventmgmt/adom
ab.
Wir filtern die Ergebnisse, um Daten zu entfernen, die in einem nicht konformen Format bereitgestellt wurden.
Dann VERWERFEN wir Warnmeldungen, die mit folgenden Typen als nicht relevant übereinstimmen:
",\\\\W+subject\\\\W+vpntunnel:*",
",\\\\W+subject\\\\W+Web request to Unrated blocked",
",\\\\W+subject\\\\W+IP scanning on Port: .* detected",
",\\\\W+subject\\\\W+SSL connection is exempted based on allowlist.",
",\\\\W+subject\\\\W+SSL connection is exempted based on address."
,"Link monitor: Interface .* was turned down",
"Link monitor: Interface .* was turned up",
"logdesc:Memory log full over final warning level",
"logdesc:Memory log full over second warning level",
"desc\\\\:Disk quota alert",
"desc\\\\:Disk quota warning",
",\\\\W+subject\\\\W+Insecure SSL Connection blocked",
Beispiele für Bedrohungszuordnungen
Der Warnmeldungstyp wird wie folgt definiert:
Wenn das Feld message
nicht leer ist, nach einem angegebenen Regex-Muster suchen. Andernfalls prüfen, ob die Felder FTNTFGTattack
, ad.subtype
und cat
die entsprechenden Werte zuweisen. Wenn keine Übereinstimmungen gefunden werden, schneiden wir das message
Feld ab.
Beispiel-Alarme:
{"alertType": "Fortigate had experienced an unexpected power off!"}
{"threatId": "T1562.001", "threatName": "Disable or Modify Tools"}
{"alertType": "Add dnsfilter.domain-filter N", "threatId": "TA0005", "threatName": "Defense Evasion"}