Vai al contenuto
Il supporto che offriamo per MDR.

Integrazione Fortinet FortiAnalyzer

Fortinet FortiAnalyzer può essere integrato con Sophos Central per l’invio dei report a Sophos, a scopo di analisi.

Questa pagina fornisce una panoramica dell’integrazione.

Panoramica del prodotto Fortinet FortiAnalyzer

La piattaforma Fortinet FortiAnalyzer centralizza la raccolta e l’interpretazione degli eventi di rete. Sophos è in grado di importare gli avvisi del firewall Fortigate tramite FortiAnalyzer.

Fortigate è un firewall next-gen che offre protezione avanzata contro le minacce e aiuta a ottimizzare la performance. La sua piattaforma integrata unisce varie funzioni di sicurezza e connettività, per difendere gli utenti dalle minacce più sofisticate.

Documenti Sophos

Integrazione di Fortinet FortiAnalyzer (API)

I dati raccolti e inseriti

Esempi di avvisi visualizzati da Sophos:

  • Utilizzo rischioso di app
  • Traffico web verso un dominio C2
  • Malware inviato dall’indirizzo
  • Traffico verso un dominio botnet
  • Log delle intrusioni
  • Modifiche della configurazione

Avvisi inseriti per intero

Inseriamo gli eventi restituiti dall’endpoint di FortiAnalyzer /eventmgmt/adom.

Filtraggio

Vengono eseguite query sull’endpoint eventmgmt/adom.

Filtriamo i risultati per rimuovere i dati forniti in un formato non conforme.

Successivamente, RILASCIAMO gli avvisi che trovano corrispondenza con i seguenti tipi, in quanto non sono interessanti:

  • ",\\\\W+subject\\\\W+vpntunnel:*",
  • ",\\\\W+subject\\\\W+Web request to Unrated blocked",
  • ",\\\\W+subject\\\\W+IP scanning on Port: .* detected",
  • ",\\\\W+subject\\\\W+SSL connection is exempted based on allowlist.",
  • ",\\\\W+subject\\\\W+SSL connection is exempted based on address.",
  • "Link monitor: Interface .* was turned down",
  • "Link monitor: Interface .* was turned up",
  • "logdesc:Memory log full over final warning level",
  • "logdesc:Memory log full over second warning level",
  • "desc\\\\:Disk quota alert",
  • "desc\\\\:Disk quota warning",
  • ",\\\\W+subject\\\\W+Insecure SSL Connection blocked",

Esempi di mapping delle minacce

Il tipo di avviso viene definito come segue:

Se il campo message non è vuoto, viene cercato uno schema regex specificato. In caso contrario, viene verificata l’esistenza dei campi FTNTFGTattack, ad.subtype e cat, e vengono assegnati i rispettivi valori. Se non vengono trovate corrispondenze, il campo message viene tagliato.

Esempi di avvisi:

{"alertType": "Fortigate had experienced an unexpected power off!"}
{"threatId": "T1562.001", "threatName": "Disable or Modify Tools"}
{"alertType": "Add dnsfilter.domain-filter N", "threatId": "TA0005", "threatName": "Defense Evasion"}

Documentazione del vendor

Creazione di amministratori