Integration von Fortinet Fortigate
Sie können Fortinet Fortigate in Sophos Central integrieren, sodass Warnmeldungen zur Analyse an Sophos gesendet werden.
Auf dieser Seite erhalten Sie einen Überblick über die Integration.
Produktübersicht zu Fortinet Fortigate
FortiGate von Fortinet ist eine Firewall der nächsten Generation, die erweiterten Schutz vor Bedrohungen und Leistungsoptimierung bietet. Die integrierte Plattform konsolidiert verschiedene Sicherheits- und Netzwerkfunktionen und bietet Benutzern Schutz vor komplexen Bedrohungen.
Sophos-Dokumente
Fortinet FortiGate integrieren
Was wir erfassen
Beispiel für Warnmeldungen, die Sophos gesehen hat:
Apache.Struts.2.ParametersInterceptor.Remote.Command.Execution
Squirrelly.Template.Engine.Express.Render.API.Code.Injection
Splunk.Enterprise.REST.Information.Disclosure
TinyWebGallery.Lang.File.Inclusion
SIP.Multiple.Single.Value.Required.Header.Field
Alarme werden vollständig erfasst
Es wird empfohlen, die folgenden Warnmeldungen zu konfigurieren (mit Schweregrad warning
oder höher):
forward-traffic
local-traffic
multicast-traffic
sniffer-traffic
anomaly
traffic
web
url-filter
log-all-url
web-filter-referer-log
Filterung
Wir filtern Warnmeldungen nach Protokollierungsformat wie folgt:
Agent-Filter
- Wir ERLAUBEN gültige
CEF
. - Wir VERWERFEN Verkehrsprotokolle und Durchlauf-Protokolle.
- Wir VERWERFEN Meldungen auf Nur-Protokoll-, Informations- und Benachrichtigungsebene.
- Wir VERWERFEN verschiedene Statusmeldungen für Wireless-Geräte.
Plattformfilter
- Wir VERWERFEN verschiedene Active Directory-Überwachungsprotokolle.
- Wir VERWERFEN Fehlerebenenmeldungen.
- Wir VERWERFEN verschiedene überprüfte und nicht sicherheitsrelevante Nachrichten und Protokolle.
- Wir VERWERFEN verschiedene Meldungen mit hohem Aufkommen und niedrigem Wert
Beispiele für Bedrohungszuordnungen
{"alertType": "SSL connection is blocked.", "threatId": "T1573", "threatName": "Encrypted Channel"}
{"alertType": "Cerber.Botnet", "threatId": "TA0011", "threatName": "Command and Control"}
{"alertType": "Apache.Log4j.Error.Log.Remote.Code.Execution", "threatId": "T1203", "threatName": "Exploitation for Client Execution"}
{"alertType": "Network.Service: DNS_Dynamic.Update", "threatId": "T1071.004", "threatName": "DNS"}
{"alertType": "Administrator NAME login failed from ssh(IP_ADDRESS) because admin concurrent is disabled", "threatId": "T1078", "threatName": "Valid Accounts"}