Vai al contenuto
Il supporto che offriamo per MDR.

Link permanente della pagina

Utilizza sempre il seguente link permanente quando fai riferimento a questa pagina. Rimarrà invariato nelle versioni future della guida.

https://docs.sophos.com/central/customer/help/it-it/index.html?contextId=Fortianalyzer

Integrazione di Fortinet FortiAnalyzer (API)

API Firewall

Per utilizzare questa funzionalità, occorre un pacchetto di licenza per l’integrazione “Firewall”.

Nota

Questa integrazione consente all’appliance FortiAnalyzer e ai prodotti con sottoscrizione VM di inoltrare dati a Sophos. Tuttavia, FortiAnalyzer Cloud non è in grado di inoltrare i log, inclusi gli eventi di sicurezza, quindi non è compatibile con questa integrazione. Vedere Limitazioni di FortiAnalyzer Cloud.

Nota

È disponibile anche un’integrazione di tipo agente di raccolta log per FortiAnalyzer. A differenza dell’integrazione API, non richiede accesso all’Internet pubblica sul dispositivo FortiAnalyzer. Vedere Fortinet FortiAnalyzer (Agente di raccolta log).

Fortinet FortiAnalyzer può essere integrato con Sophos Central per l’invio dei report a Sophos, a scopo di analisi.

Occorreranno il nome utente, la password e il dominio amministrativo di un amministratore di FortiAnalyzer, nonché l’URL di base di FortiAnalyzer.

I passaggi chiave sono:

  • Creare un amministratore in FortiAnalyzer.
  • Ottenere l’URL di base per FortiAnalyzer.
  • Configurare un’integrazione in Sophos Central.

Avviso

L’URL di base di FortiAnalyzer deve avere un nome DNS risolvibile pubblicamente, altrimenti l’API non funzionerà.

Con questa API non è neppure possibile utilizzare un certificato autofirmato.

Creazione di un amministratore di FortiAnalyzer

Per creare un amministratore, procedere come segue:

  1. In FortiAnalyzer, selezionare System Settings (Impostazioni di sistema) > Admin (Amministrazione) > Administrators (Amministratori).

  2. Creare un amministratore con accesso JSON in lettura per le API.

    Nel profilo dell’amministratore occorre impostare l’autorizzazione Incidents & Events/FortiSOC (Incidenti ed eventi/FortiSOC) su Read Only (Sola lettura).

    Prendere nota del nome utente, della password e del dominio amministrativo. Saranno richiesti quando viene aggiunta l’integrazione.

    Per informazioni dettagliate, vedere la pagina Creazione di amministratori.

Recupero dell’URL di base di FortiAnalyzer

  1. Verificare l’URL di base di FortiAnalyzer a cui dovrà connettersi Sophos Central.

    Il formato dell’URL di base è il seguente: https://faz.<yourorganization>.com.

    Copiare l’URL di base. Verrà richiesto all’aggiunta dell’integrazione.

Configurazione di un’integrazione

Per integrare FortiAnalyzer con Sophos Central, procedere come segue:

  1. In Sophos Central, selezionare Centro di analisi delle minacce > Integrazioni > Marketplace.

  2. Cliccare su FortiAnalyzer.

    Si apre la pagina FortiAnalyzer. Qui è possibile configurare le integrazioni e visualizzare un elenco delle integrazioni che sono già state configurate.

  3. In Inserimento dei dati (Avvisi di sicurezza), cliccare su Aggiungi configurazione.

    Nota

    Se questa è la prima integrazione aggiunta, chiederemo dei dettagli sui domini e sugli IP interni. Vedere Immissione dei dettagli di dominio e IP.

  4. Nei Passaggi di integrazione è possibile configurare un’API in modo che raccolga dati da FortiAnalyzer:

    1. Immettere il Nome dell’integrazione e la Descrizione dell’integrazione.
    2. Immettere i Dettagli autenticazione ottenuti da FortiAnalyzer: dominio amministrativo, nome utente, password e URL di base.

  5. Cliccare su Salva

L’integrazione verrà creata e visualizzata nell’elenco. Se l’icona di stato mostra una spunta verde, i dati dovrebbero essere visualizzati nel Sophos Data Lake dopo la convalida.

Indirizzi IP per Sophos

Gli indirizzi IP utilizzati per raggiungere FortiAnalyzer dipendono dall’area geografica di Sophos Central che si utilizza. Per sapere quali sono gli indirizzi IP richiesti, vedere Autorizzazione degli IP Sophos.

Potrebbe essere consigliabile aggiungere questi indirizzi agli elenchi di elementi Consentiti nella propria infrastruttura di rete.