Zum Inhalt
Klicken Sie hier für Support-Informationen zu MDR.

Permalink für diese Seite

Verwenden Sie immer den folgenden Permalink, um auf diese Seite zu verweisen. Der Link bleibt auch in zukünftigen Versionen dieser Hilfe unverändert.

https://docs.sophos.com/central/customer/help/de-de/index.html?contextId=fortianalyzer-syslog-integration-overview

Überblick über die Integration von FortiAnalyzer (Protokollsammler)

Protokollsammler Firewall

Sie können Fortinet FortiAnalyzer in Sophos Central integrieren, sodass Alerts zur Analyse an Sophos gesendet werden.

Auf dieser Seite erhalten Sie einen Überblick über die Integration.

Produktübersicht zu Fortinet FortiAnalyzer

Die FortiAnalyzer Plattform von Fortinet zentralisiert die Erfassung und Interpretation von Netzwerkereignissen. Sophos kann Fortigate Firewall-Alarme über FortiAnalyzer erfassen.

Fortigate ist eine Firewall der nächsten Generation, die Schutz vor komplexen Bedrohungen und Leistungsoptimierung bietet. Die integrierte Plattform konsolidiert verschiedene Sicherheits- und Netzwerkfunktionen und bietet Benutzern Schutz vor komplexen Bedrohungen.

Sophos-Dokumente

Fortinet FortiAnalyzer (Protokollsammler) integrieren

Was wir erfassen

Beispiel für Warnmeldungen, die Sophos gesehen hat:

  • Admin login failed
  • IPsec phase 1 error
  • Web request to Malicious Websites blocked
  • Risky App Cloudflare.1.1.1.1.VPN blocked
  • URL belongs to a denied category in policy
  • Web traffic to C&C from _ blocked
  • SSH channel blocked
  • applications3: F5.BIG.IP.TMM.URI.Normalization.Buffer.Overflow
  • operating_system: Linux.Kernel.TCP.SACK.Panic.DoS
  • misc: Java.Debug.Wire.Protocol.Insecure.Configuration
  • backdoor: Bladabindi.Botnet
  • Social.Media: Snapchat
  • General.Interest: Google.Cloud.Messaging
  • Email: Microsoft.Outlook.Office.365
  • Storage.Backup: Dropbox
  • Malware JS/Agent.10CC!tr download from WAN blocked

Filterung

  • Wir erlauben Nachrichten im CEF-Standardformat.
  • Wir filtern, um Daten zu entfernen, die in einem nicht konformen Format bereitgestellt wurden.
  • Dann verwerfen wir Alerts, die uninteressant oder nicht sicherheitsrelevant sind.

Beispiele für Bedrohungszuordnungen

Wir definieren den Typ wie folgt:

Wenn das Feld „message“ nicht leer ist, suchen wir nach einem angegebenen Regex-Muster. Andernfalls prüfen wir, ob die Felder „FTNTFGTattack“, „ad.subtype“ und „cat“ vorhanden sind und weisen die entsprechenden Werte zu.

Beispielzuordnungen:

{"alertType": "Fortigate had experienced an unexpected power off!"}
{"threatId": "T1562.001", "threatName": "Disable or Modify Tools"}
{ "alertType": "Add dnsfilter.domain-filter N", "threatId": "TA0005", "threatName": "Defense Evasion"}

Herstellerdokumentation