Integrazione Fortinet FortiAnalyzer
Fortinet FortiAnalyzer può essere integrato con Sophos Central per l’invio dei report a Sophos, a scopo di analisi.
Questa pagina fornisce una panoramica dell’integrazione.
Panoramica del prodotto Fortinet FortiAnalyzer
La piattaforma Fortinet FortiAnalyzer centralizza la raccolta e l’interpretazione degli eventi di rete. Sophos è in grado di importare gli avvisi del firewall Fortigate tramite FortiAnalyzer.
Fortigate è un firewall next-gen che offre protezione avanzata contro le minacce e aiuta a ottimizzare la performance. La sua piattaforma integrata unisce varie funzioni di sicurezza e connettività, per difendere gli utenti dalle minacce più sofisticate.
Documenti Sophos
Integrazione di Fortinet FortiAnalyzer (API)
I dati raccolti e inseriti
Esempi di avvisi visualizzati da Sophos:
- Utilizzo rischioso di app
- Traffico web verso un dominio C2
- Malware inviato dall’indirizzo
- Traffico verso un dominio botnet
- Log delle intrusioni
- Modifiche della configurazione
Avvisi inseriti per intero
Inseriamo gli eventi restituiti dall’endpoint di FortiAnalyzer /eventmgmt/adom
.
Filtraggio
Vengono eseguite query sull’endpoint eventmgmt/adom
.
Filtriamo i risultati per rimuovere i dati forniti in un formato non conforme.
Successivamente, RILASCIAMO gli avvisi che trovano corrispondenza con i seguenti tipi, in quanto non sono interessanti:
",\\\\W+subject\\\\W+vpntunnel:*",
",\\\\W+subject\\\\W+Web request to Unrated blocked",
",\\\\W+subject\\\\W+IP scanning on Port: .* detected",
",\\\\W+subject\\\\W+SSL connection is exempted based on allowlist.",
",\\\\W+subject\\\\W+SSL connection is exempted based on address."
,"Link monitor: Interface .* was turned down",
"Link monitor: Interface .* was turned up",
"logdesc:Memory log full over final warning level",
"logdesc:Memory log full over second warning level",
"desc\\\\:Disk quota alert",
"desc\\\\:Disk quota warning",
",\\\\W+subject\\\\W+Insecure SSL Connection blocked",
Esempi di mapping delle minacce
Il tipo di avviso viene definito come segue:
Se il campo message
non è vuoto, viene cercato uno schema regex specificato. In caso contrario, viene verificata l’esistenza dei campi FTNTFGTattack
, ad.subtype
e cat
, e vengono assegnati i rispettivi valori. Se non vengono trovate corrispondenze, il campo message
viene tagliato.
Esempi di avvisi:
{"alertType": "Fortigate had experienced an unexpected power off!"}
{"threatId": "T1562.001", "threatName": "Disable or Modify Tools"}
{"alertType": "Add dnsfilter.domain-filter N", "threatId": "TA0005", "threatName": "Defense Evasion"}