Zum Inhalt
Klicken Sie hier für Support-Informationen zu MDR.

Integration von Fortinet FortiAnalyzer

Sie können Fortinet FortiAnalyzer in Sophos Central integrieren, sodass Berichte an Sophos zur Analyse gesendet werden.

Auf dieser Seite erhalten Sie einen Überblick über die Integration.

Produktübersicht zu Fortinet FortiAnalyzer

Die FortiAnalyzer Plattform von Fortinet zentralisiert die Erfassung und Interpretation von Netzwerkereignissen. Sophos kann Fortigate Firewall-Alarme über FortiAnalyzer erfassen.

Fortigate ist eine Firewall der nächsten Generation, die erweiterten Schutz vor Bedrohungen und Leistungsoptimierung bietet. Die integrierte Plattform konsolidiert verschiedene Sicherheits- und Netzwerkfunktionen und bietet Benutzern Schutz vor komplexen Bedrohungen.

Sophos-Dokumente

Fortinet FortiAnalyzer (API) integrieren

Was wir erfassen

Beispiel für Warnmeldungen, die Sophos gesehen hat:

  • Riskante Nutzung der App
  • Webverkehr zu C2-Domäne
  • Bereitstellung von Malware von der Adresse
  • Datenverkehr zu Botnet-Domäne
  • Intrusion-Protokolle
  • Konfigurationsänderungen

Alarme werden vollständig erfasst

Wir erfassen Ereignisse auf, die vom Fortianalyzer /eventmgmt/adom-Endpoint zurückgegeben werden.

Filterung

Wir fragen den Endpoint eventmgmt/adom ab.

Wir filtern die Ergebnisse, um Daten zu entfernen, die in einem nicht konformen Format bereitgestellt wurden.

Dann VERWERFEN wir Warnmeldungen, die mit folgenden Typen als nicht relevant übereinstimmen:

  • ",\\\\W+subject\\\\W+vpntunnel:*",
  • ",\\\\W+subject\\\\W+Web request to Unrated blocked",
  • ",\\\\W+subject\\\\W+IP scanning on Port: .* detected",
  • ",\\\\W+subject\\\\W+SSL connection is exempted based on allowlist.",
  • ",\\\\W+subject\\\\W+SSL connection is exempted based on address.",
  • "Link monitor: Interface .* was turned down",
  • "Link monitor: Interface .* was turned up",
  • "logdesc:Memory log full over final warning level",
  • "logdesc:Memory log full over second warning level",
  • "desc\\\\:Disk quota alert",
  • "desc\\\\:Disk quota warning",
  • ",\\\\W+subject\\\\W+Insecure SSL Connection blocked",

Beispiele für Bedrohungszuordnungen

Der Warnmeldungstyp wird wie folgt definiert:

Wenn das Feld message nicht leer ist, nach einem angegebenen Regex-Muster suchen. Andernfalls prüfen, ob die Felder FTNTFGTattack, ad.subtype und cat die entsprechenden Werte zuweisen. Wenn keine Übereinstimmungen gefunden werden, schneiden wir das message Feld ab.

Beispiel-Alarme:

{"alertType": "Fortigate had experienced an unexpected power off!"}
{"threatId": "T1562.001", "threatName": "Disable or Modify Tools"}
{"alertType": "Add dnsfilter.domain-filter N", "threatId": "TA0005", "threatName": "Defense Evasion"}

Herstellerdokumentation

Administratoren erstellen