Aller au contenu
Découvrez comment nous prenons en charge MDR.

Permalien de la page

Utilisez toujours le permalien suivant lorsque vous faites référence à cette page. Il restera inchangé dans les futures versions de l’aide.

https://docs.sophos.com/central/customer/help/fr-fr/index.html?contextId=fortianalyzer-syslog-integration-overview

Présentation de l’intégration FortiAnalyzer (Collecteur de journaux)

Vous pouvez intégrer Fortinet FortiAnalyzser à Sophos Central pour lui permettre d’envoyer des alertes à Sophos pour analyse.

Cette page vous donne une vue générale de l’intégration.

Présentation du produit Fortinet FortiAnalyzer

La plate-forme FortiAnalyzer de Fortinet centralise la collecte et l’interprétation des événements réseau. Sophos peut ingérer les alertes du pare-feu FortiGate via FortiAnalyzer.

FortiGate est un pare-feu de nouvelle génération qui offre une protection contre les menaces avancées et une optimisation des performances. Sa plate-forme intégrée consolide diverses fonctions de sécurité et de mise en réseau, offrant aux utilisateurs une protection contre les menaces sophistiquées.

Documents Sophos

Intégrer Fortinet FortiAnalyzer (collecteur de journaux)

Ce que nous ingérons

Exemples d’alertes vues par Sophos :

  • Admin login failed
  • IPsec phase 1 error
  • Web request to Malicious Websites blocked
  • Risky App Cloudflare.1.1.1.1.VPN blocked
  • URL belongs to a denied category in policy
  • Web traffic to C&C from _ blocked
  • SSH channel blocked
  • applications3: F5.BIG.IP.TMM.URI.Normalization.Buffer.Overflow
  • operating_system: Linux.Kernel.TCP.SACK.Panic.DoS
  • misc: Java.Debug.Wire.Protocol.Insecure.Configuration
  • backdoor: Bladabindi.Botnet
  • Social.Media: Snapchat
  • General.Interest: Google.Cloud.Messaging
  • Email: Microsoft.Outlook.Office.365
  • Storage.Backup: Dropbox
  • Malware JS/Agent.10CC!tr download from WAN blocked

Filtrage

  • Nous autorisons les messages au format CEF standard.
  • Nous filtrons les résultats pour supprimer les données fournies dans un format non conforme.
  • Nous supprimons ensuite les alertes qui ne sont pas intéressantes ou qui ne concernent pas la sécurité.

Exemples de mappages de menaces

Nous définissons le type d’alerte de la manière suivante :

Si le champ « Message » n’est pas vide, nous recherchons un modèle regex (expressions régulières) spécifié. Sinon, nous vérifions l’existence des champs « FTNTFGTattack », « ad.subtype », et « cat » et assignons leurs valeurs en conséquence.

Exemples de mappages :

{"alertType": "Fortigate had experienced an unexpected power off!"}
{"threatId": "T1562.001", "threatName": "Disable or Modify Tools"}
{ "alertType": "Add dnsfilter.domain-filter N", "threatId": "TA0005", "threatName": "Defense Evasion"}

Documentation fournisseur