Aller au contenu
Découvrez comment nous prenons en charge MDR.

Intégration Fortinet FortiAnalyzer

Vous pouvez intégrer Fortinet FortiAnalyzer à Sophos Central pour lui permettre d’envoyer des rapports à Sophos pour analyse.

Cette page vous donne une vue générale de l’intégration.

Présentation du produit Fortinet FortiAnalyzer

La plate-forme FortiAnalyzer de Fortinet centralise la collecte et l’interprétation des événements réseau. Sophos peut ingérer les alertes du pare-feu FortiGate via FortiAnalyzer.

FortiGate est un pare-feu de nouvelle génération qui offre une protection contre les menaces avancées et une optimisation des performances. Sa plate-forme intégrée consolide diverses fonctions de sécurité et de mise en réseau, offrant aux utilisateurs une protection contre les menaces sophistiquées.

Documents Sophos

Intégrer Fortinet FortiAnalyzer (API)

Ce que nous ingérons

Exemples d’alertes vues par Sophos :

  • Utilisation d’une application à risque
  • Trafic Web vers le domaine C2
  • Malware fourni à partir de l’adresse
  • Trafic vers le domaine botnet
  • Journaux d’intrusion
  • Changements de configuration

Alertes ingérées dans leur intégralité

Nous ingérons les événements renvoyés à partir du terminal FortiAnalyzer /eventmgmt/adom.

Filtrage

Nous interrogeons le terminal eventmgmt/adom.

Nous filtrons les résultats pour supprimer les données fournies dans un format non conforme.

Ensuite, nous INJECTONS les alertes correspondant aux types suivants comme « sans intérêt » :

  • ",\\\\W+subject\\\\W+vpntunnel:*",
  • ",\\\\W+subject\\\\W+Web request to Unrated blocked",
  • ",\\\\W+subject\\\\W+IP scanning on Port: .* detected",
  • ",\\\\W+subject\\\\W+SSL connection is exempted based on allowlist.",
  • ",\\\\W+subject\\\\W+SSL connection is exempted based on address.",
  • "Link monitor: Interface .* was turned down",
  • "Link monitor: Interface .* was turned up",
  • "logdesc:Memory log full over final warning level",
  • "logdesc:Memory log full over second warning level",
  • "desc\\\\:Disk quota alert",
  • "desc\\\\:Disk quota warning",
  • ",\\\\W+subject\\\\W+Insecure SSL Connection blocked",

Exemples de mappages de menaces

Le type d’alerte est défini comme suit :

Si le champ message n’est pas vide, recherchez un modèle regex (expressions régulières) spécifié. Sinon, vérifiez l’existence des champs FTNTFGTattack, ad.subtype, et cat, et assignez leurs valeurs en conséquence. Si aucune correspondance n’est trouvée, nous raccourcissons le champ message.

Exemples d’alertes :

{"alertType": "Fortigate had experienced an unexpected power off!"}
{"threatId": "T1562.001", "threatName": "Disable or Modify Tools"}
{"alertType": "Add dnsfilter.domain-filter N", "threatId": "TA0005", "threatName": "Defense Evasion"}

Documentation fournisseur

Créer des administrateurs