Saltar al contenido
Descubra cómo respaldamos el servicio MDR.

Integración de Fortinet FortiAnalyzer

Puede integrar Fortinet FortiAnalyzer con Sophos Central para que envíe informes a Sophos para su análisis.

Esta página presenta una visión general de la integración.

Resumen del producto Fortinet FortiAnalyzer

La plataforma FortiAnalyzer de Fortinet centraliza la recopilación e interpretación de los eventos de red. Sophos puede ingerir las alertas de firewall de Fortigate a través de FortiAnalyzer.

FortiGate es un firewall next-gen que ofrece protección frente a amenazas avanzadas y optimización del rendimiento. Su plataforma integrada consolida varias funciones de seguridad y de red, ofreciendo así al usuario protección frente a amenazas sofisticadas.

Documentos de Sophos

Integrar Fortinet FortiAnalyzer (API)

Datos que ingerimos

Ejemplos de alertas vistas por Sophos:

  • Uso de aplicaciones de riesgo
  • Tráfico web al dominio C2
  • Malware proporcionado desde la dirección
  • Tráfico al dominio de red de bots
  • Registros de intrusión
  • Cambios de configuración

Alertas ingeridas en su totalidad

Ingerimos eventos devueltos desde la estación de trabajo de /eventmgmt/adom.

Filtrado

Consultamos la estación de trabajo eventmgmt/adom.

Filtramos los resultados para eliminar los datos proporcionados en un formato no conforme.

Luego DESCARTAMOS alertas que coinciden con los siguientes tipos por tener poco interés:

  • ",\\\\W+subject\\\\W+vpntunnel:*",
  • ",\\\\W+subject\\\\W+Web request to Unrated blocked",
  • ",\\\\W+subject\\\\W+IP scanning on Port: .* detected",
  • ",\\\\W+subject\\\\W+SSL connection is exempted based on allowlist.",
  • ",\\\\W+subject\\\\W+SSL connection is exempted based on address.",
  • "Link monitor: Interface .* was turned down",
  • "Link monitor: Interface .* was turned up",
  • "logdesc:Memory log full over final warning level",
  • "logdesc:Memory log full over second warning level",
  • "desc\\\\:Disk quota alert",
  • "desc\\\\:Disk quota warning",
  • ",\\\\W+subject\\\\W+Insecure SSL Connection blocked",

Muestra de asignaciones de amenazas

El tipo de alerta se define de la siguiente manera:

Si el campo message no está vacío, buscar un patrón regex especificado. En caso contrario, comprobar la existencia de los campos FTNTFGTattack, ad.subtype y cat y asignar sus valores como corresponda. Si no se encuentran coincidencias, recortamos el campo message.

Alertas de muestra:

{"alertType": "Fortigate had experienced an unexpected power off!"}
{"threatId": "T1562.001", "threatName": "Disable or Modify Tools"}
{"alertType": "Add dnsfilter.domain-filter N", "threatId": "TA0005", "threatName": "Defense Evasion"}

Documentación del proveedor

Creación de administradores