Zum Inhalt
Klicken Sie hier für Support-Informationen zu MDR.

Integration von Fortinet Fortigate

Sie können Fortinet Fortigate in Sophos Central integrieren, sodass Warnmeldungen zur Analyse an Sophos gesendet werden.

Auf dieser Seite erhalten Sie einen Überblick über die Integration.

Produktübersicht zu Fortinet Fortigate

FortiGate von Fortinet ist eine Firewall der nächsten Generation, die erweiterten Schutz vor Bedrohungen und Leistungsoptimierung bietet. Die integrierte Plattform konsolidiert verschiedene Sicherheits- und Netzwerkfunktionen und bietet Benutzern Schutz vor komplexen Bedrohungen.

Sophos-Dokumente

Fortinet FortiGate integrieren

Was wir erfassen

Beispiel für Warnmeldungen, die Sophos gesehen hat:

  • Apache.Struts.2.ParametersInterceptor.Remote.Command.Execution
  • Squirrelly.Template.Engine.Express.Render.API.Code.Injection
  • Splunk.Enterprise.REST.Information.Disclosure
  • TinyWebGallery.Lang.File.Inclusion
  • SIP.Multiple.Single.Value.Required.Header.Field

Alarme werden vollständig erfasst

Es wird empfohlen, die folgenden Warnmeldungen zu konfigurieren (mit Schweregrad warning oder höher):

  • forward-traffic
  • local-traffic
  • multicast-traffic
  • sniffer-traffic
  • anomaly
  • traffic
  • web
  • url-filter
  • log-all-url
  • web-filter-referer-log

Filterung

Wir filtern Warnmeldungen nach Protokollierungsformat wie folgt:

Agent-Filter

  • Wir ERLAUBEN gültige CEF.
  • Wir VERWERFEN Verkehrsprotokolle und Durchlauf-Protokolle.
  • Wir VERWERFEN Meldungen auf Nur-Protokoll-, Informations- und Benachrichtigungsebene.
  • Wir VERWERFEN verschiedene Statusmeldungen für Wireless-Geräte.

Plattformfilter

  • Wir VERWERFEN verschiedene Active Directory-Überwachungsprotokolle.
  • Wir VERWERFEN Fehlerebenenmeldungen.
  • Wir VERWERFEN verschiedene überprüfte und nicht sicherheitsrelevante Nachrichten und Protokolle.
  • Wir VERWERFEN verschiedene Meldungen mit hohem Aufkommen und niedrigem Wert

Beispiele für Bedrohungszuordnungen

{"alertType": "SSL connection is blocked.", "threatId": "T1573", "threatName": "Encrypted Channel"}
{"alertType": "Cerber.Botnet", "threatId": "TA0011", "threatName": "Command and Control"}
{"alertType": "Apache.Log4j.Error.Log.Remote.Code.Execution", "threatId": "T1203", "threatName": "Exploitation for Client Execution"}
{"alertType": "Network.Service: DNS_Dynamic.Update", "threatId": "T1071.004", "threatName": "DNS"}
{"alertType": "Administrator NAME login failed from ssh(IP_ADDRESS) because admin concurrent is disabled", "threatId": "T1078", "threatName": "Valid Accounts"}