Aller au contenu
Découvrez comment nous prenons en charge MDR.

Intégration Fortinet Fortigate

Vous pouvez intégrer Fortinet FortigateI à Sophos Central pour lui permettre d’envoyer des alertes à Sophos pour analyse.

Cette page vous donne une vue générale de l’intégration.

Présentation du produit Fortinet Fortigate

La solution FortiGate de Fortinet est un pare-feu de nouvelle génération qui offre une protection contre les menaces avancées et une optimisation des performances. Sa plate-forme intégrée consolide diverses fonctions de sécurité et de mise en réseau, offrant aux utilisateurs une protection contre les menaces sophistiquées.

Documents Sophos

Intégrer Fortinet FortiGate

Ce que nous ingérons

Exemples d’alertes vues par Sophos :

  • Apache.Struts.2.ParametersInterceptor.Remote.Command.Execution
  • Squirrelly.Template.Engine.Express.Render.API.Code.Injection
  • Splunk.Enterprise.REST.Information.Disclosure
  • TinyWebGallery.Lang.File.Inclusion
  • SIP.Multiple.Single.Value.Required.Header.Field

Alertes ingérées dans leur intégralité

Nous vous recommandons de configurer les alertes suivantes (à un niveau de gravité warning ou supérieur) :

  • forward-traffic
  • local-traffic
  • multicast-traffic
  • sniffer-traffic
  • anomaly
  • traffic
  • web
  • url-filter
  • log-all-url
  • web-filter-referer-log

Filtrage

Nous filtrons les alertes et journaux comme suit :

Filtre d’agent

  • Nous AUTORISONS un CEF valide.
  • Nous INJECTONS les journaux de trafic et les journaux d'intercommunication waf.
  • Nous INJECTONS les messages de niveau « journalisation uniquement », « information » et « notification ».
  • Nous INJECTONS divers messages d’état des appareils sans fil.

Filtre de plate-forme

  • Nous INJECTONS divers journaux d’audit Active Directory.
  • Nous INJECTONS des messages de niveau d’erreur.
  • Nous INJECTONS divers messages et journaux révisés et non liés à la sécurité.
  • Nous INJECTONS divers messages spécifiques de volume élevé et de faible valeur

Exemples de mappages de menaces

{"alertType": "SSL connection is blocked.", "threatId": "T1573", "threatName": "Encrypted Channel"}
{"alertType": "Cerber.Botnet", "threatId": "TA0011", "threatName": "Command and Control"}
{"alertType": "Apache.Log4j.Error.Log.Remote.Code.Execution", "threatId": "T1203", "threatName": "Exploitation for Client Execution"}
{"alertType": "Network.Service: DNS_Dynamic.Update", "threatId": "T1071.004", "threatName": "DNS"}
{"alertType": "Administrator NAME login failed from ssh(IP_ADDRESS) because admin concurrent is disabled", "threatId": "T1078", "threatName": "Valid Accounts"}