Saltar al contenido
Descubra cómo respaldamos el servicio MDR.

Enlace permanente de la página

Utilice siempre el siguiente enlace permanente cuando haga referencia a esta página. No se modificará en futuras versiones de la ayuda.

https://docs.sophos.com/central/customer/help/es-es/index.html?contextId=fortianalyzer-syslog-integration-overview

Resumen de la integración de FortiAnalyzer (recopilador de registros)

Recopilador de registros Firewall

Puede integrar FortiAnalyzer con Sophos Central para que envíe alertas a Sophos para analizarlas.

Esta página presenta una visión general de la integración.

Resumen del producto Fortinet FortiAnalyzer

La plataforma FortiAnalyzer de Fortinet centraliza la recopilación e interpretación de los eventos de red. Sophos puede ingerir las alertas de firewall de Fortigate a través de FortiAnalyzer.

FortiGate es un firewall next-gen que ofrece protección frente a amenazas avanzadas y optimización del rendimiento. Su plataforma integrada consolida varias funciones de seguridad y de red, ofreciendo así al usuario protección frente a amenazas sofisticadas.

Documentos de Sophos

Integrar Fortinet FortiAnalyzer (Recopilador de registros)

Datos que ingerimos

Ejemplos de alertas vistas por Sophos:

  • Admin login failed
  • IPsec phase 1 error
  • Web request to Malicious Websites blocked
  • Risky App Cloudflare.1.1.1.1.VPN blocked
  • URL belongs to a denied category in policy
  • Web traffic to C&C from _ blocked
  • SSH channel blocked
  • applications3: F5.BIG.IP.TMM.URI.Normalization.Buffer.Overflow
  • operating_system: Linux.Kernel.TCP.SACK.Panic.DoS
  • misc: Java.Debug.Wire.Protocol.Insecure.Configuration
  • backdoor: Bladabindi.Botnet
  • Social.Media: Snapchat
  • General.Interest: Google.Cloud.Messaging
  • Email: Microsoft.Outlook.Office.365
  • Storage.Backup: Dropbox
  • Malware JS/Agent.10CC!tr download from WAN blocked

Filtrado

  • Aceptamos mensajes en formato CEF estándar.
  • Filtramos los resultados para eliminar los datos proporcionados en un formato no conforme.
  • A continuación, descartamos las alertas que no son pertinentes o que no son eventos de seguridad.

Muestra de asignaciones de amenazas

Definimos el tipo de la siguiente manera:

Si el campo "message" no está vacío, buscamos un patrón regex especificado. De lo contrario, comprobamos la existencia de los campos 'FTNTFGTattack', 'ad.subtype' y 'cat' y asignamos sus valores en consecuencia.

Asignaciones de ejemplo:

{"alertType": "Fortigate had experienced an unexpected power off!"}
{"threatId": "T1562.001", "threatName": "Disable or Modify Tools"}
{ "alertType": "Add dnsfilter.domain-filter N", "threatId": "TA0005", "threatName": "Defense Evasion"}

Documentación del proveedor