Integración de Fortinet FortiAnalyzer
Puede integrar Fortinet FortiAnalyzer con Sophos Central para que envíe informes a Sophos para su análisis.
Esta página presenta una visión general de la integración.
Resumen del producto Fortinet FortiAnalyzer
La plataforma FortiAnalyzer de Fortinet centraliza la recopilación e interpretación de los eventos de red. Sophos puede ingerir las alertas de firewall de Fortigate a través de FortiAnalyzer.
FortiGate es un firewall next-gen que ofrece protección frente a amenazas avanzadas y optimización del rendimiento. Su plataforma integrada consolida varias funciones de seguridad y de red, ofreciendo así al usuario protección frente a amenazas sofisticadas.
Documentos de Sophos
Integrar Fortinet FortiAnalyzer (API)
Datos que ingerimos
Ejemplos de alertas vistas por Sophos:
- Uso de aplicaciones de riesgo
- Tráfico web al dominio C2
- Malware proporcionado desde la dirección
- Tráfico al dominio de red de bots
- Registros de intrusión
- Cambios de configuración
Alertas ingeridas en su totalidad
Ingerimos eventos devueltos desde la estación de trabajo de /eventmgmt/adom
.
Filtrado
Consultamos la estación de trabajo eventmgmt/adom
.
Filtramos los resultados para eliminar los datos proporcionados en un formato no conforme.
Luego DESCARTAMOS alertas que coinciden con los siguientes tipos por tener poco interés:
",\\\\W+subject\\\\W+vpntunnel:*",
",\\\\W+subject\\\\W+Web request to Unrated blocked",
",\\\\W+subject\\\\W+IP scanning on Port: .* detected",
",\\\\W+subject\\\\W+SSL connection is exempted based on allowlist.",
",\\\\W+subject\\\\W+SSL connection is exempted based on address."
,"Link monitor: Interface .* was turned down",
"Link monitor: Interface .* was turned up",
"logdesc:Memory log full over final warning level",
"logdesc:Memory log full over second warning level",
"desc\\\\:Disk quota alert",
"desc\\\\:Disk quota warning",
",\\\\W+subject\\\\W+Insecure SSL Connection blocked",
Muestra de asignaciones de amenazas
El tipo de alerta se define de la siguiente manera:
Si el campo message
no está vacío, buscar un patrón regex especificado. En caso contrario, comprobar la existencia de los campos FTNTFGTattack
, ad.subtype
y cat
y asignar sus valores como corresponda. Si no se encuentran coincidencias, recortamos el campo message
.
Alertas de muestra:
{"alertType": "Fortigate had experienced an unexpected power off!"}
{"threatId": "T1562.001", "threatName": "Disable or Modify Tools"}
{"alertType": "Add dnsfilter.domain-filter N", "threatId": "TA0005", "threatName": "Defense Evasion"}