Saltar al contenido
Descubra cómo respaldamos el servicio MDR.

Integración de Fortinet Fortigate

Puede integrar Fortinet Fortigate con Sophos Central para que envíe alertas a Sophos para analizarlas.

Esta página presenta una visión general de la integración.

Resumen del producto Fortinet Fortigate

FortiGate de Fortinet es un firewall next-gen que ofrece protección frente a amenazas avanzadas y optimización del rendimiento. Su plataforma integrada consolida varias funciones de seguridad y de red, ofreciendo así al usuario protección frente a amenazas sofisticadas.

Documentos de Sophos

Integrar Fortinet FortiGate

Datos que ingerimos

Ejemplos de alertas vistas por Sophos:

  • Apache.Struts.2.ParametersInterceptor.Remote.Command.Execution
  • Squirrelly.Template.Engine.Express.Render.API.Code.Injection
  • Splunk.Enterprise.REST.Information.Disclosure
  • TinyWebGallery.Lang.File.Inclusion
  • SIP.Multiple.Single.Value.Required.Header.Field

Alertas ingeridas en su totalidad

Le recomendamos que configure las siguientes alertas (de gravedad warning o superior):

  • forward-traffic
  • local-traffic
  • multicast-traffic
  • sniffer-traffic
  • anomaly
  • traffic
  • web
  • url-filter
  • log-all-url
  • web-filter-referer-log

Filtrado

Filtramos las alertas y los registros de la siguiente manera:

Filtro de agente

  • PERMITIMOS un valor CEF válido.
  • DESCARTAMOS los registros de tráfico y los registros de paso a través de WAF.
  • DESCARTAMOS los mensajes de nivel de solo registro, información y aviso.
  • DESCARTAMOS varios mensajes de estado del dispositivo inalámbrico.

Filtro de plataforma

  • DESCARTAMOS varios registros de auditoría de Active Directory.
  • DESCARTAMOS mensajes de nivel de error.
  • DESCARTAMOS varios mensajes y registros revisados y no relacionados con la seguridad.
  • DESCARTAMOS varios mensajes especificados de alto volumen y bajo valor.

Muestra de asignaciones de amenazas

{"alertType": "SSL connection is blocked.", "threatId": "T1573", "threatName": "Encrypted Channel"}
{"alertType": "Cerber.Botnet", "threatId": "TA0011", "threatName": "Command and Control"}
{"alertType": "Apache.Log4j.Error.Log.Remote.Code.Execution", "threatId": "T1203", "threatName": "Exploitation for Client Execution"}
{"alertType": "Network.Service: DNS_Dynamic.Update", "threatId": "T1071.004", "threatName": "DNS"}
{"alertType": "Administrator NAME login failed from ssh(IP_ADDRESS) because admin concurrent is disabled", "threatId": "T1078", "threatName": "Valid Accounts"}