Vai al contenuto
Il supporto che offriamo per MDR.

Link permanente della pagina

Utilizza sempre il seguente link permanente quando fai riferimento a questa pagina. Rimarrà invariato nelle versioni future della guida.

https://docs.sophos.com/central/customer/help/it-it/index.html?contextId=fortianalyzer-syslog-integration-overview

Panoramica dell’integrazione FortiAnalyzer (agente di raccolta log)

Agente di raccolta log Firewall

Fortinet FortiAnalyzser può essere integrato con Sophos Central per l’invio di avvisi a Sophos, a scopo di analisi.

Questa pagina fornisce una panoramica dell’integrazione.

Panoramica del prodotto Fortinet FortiAnalyzer

La piattaforma Fortinet FortiAnalyzer centralizza la raccolta e l’interpretazione degli eventi di rete. Sophos è in grado di importare gli avvisi del firewall Fortigate tramite FortiAnalyzer.

Fortigate è un firewall next-gen che offre protezione avanzata contro le minacce e aiuta a ottimizzare la performance. La sua piattaforma integrata unisce varie funzioni di sicurezza e connettività, per difendere gli utenti dalle minacce più sofisticate.

Documenti Sophos

Integrazione di Fortinet FortiAnalyzer (Agente di raccolta log)

I dati raccolti e inseriti

Esempi di avvisi visualizzati da Sophos:

  • Admin login failed
  • IPsec phase 1 error
  • Web request to Malicious Websites blocked
  • Risky App Cloudflare.1.1.1.1.VPN blocked
  • URL belongs to a denied category in policy
  • Web traffic to C&C from _ blocked
  • SSH channel blocked
  • applications3: F5.BIG.IP.TMM.URI.Normalization.Buffer.Overflow
  • operating_system: Linux.Kernel.TCP.SACK.Panic.DoS
  • misc: Java.Debug.Wire.Protocol.Insecure.Configuration
  • backdoor: Bladabindi.Botnet
  • Social.Media: Snapchat
  • General.Interest: Google.Cloud.Messaging
  • Email: Microsoft.Outlook.Office.365
  • Storage.Backup: Dropbox
  • Malware JS/Agent.10CC!tr download from WAN blocked

Filtraggio

  • Vengono autorizzati i messaggi nel formato CEF standard.
  • Applichiamo filtri per rimuovere i dati forniti in un formato non conforme.
  • Successivamente, scartiamo gli avvisi che non sono interessanti o gli eventi che non riguardano la sicurezza.

Esempi di mapping delle minacce

Il tipo viene definito come segue:

Se il campo “Messaggio” non è vuoto, cerchiamo uno schema regex specificato. In caso contrario, verifichiamo l’esistenza dei campi “FTNTFGTattack”, “ad.subtype” e “cat”, e assegnamo i rispettivi valori.

Mapping di esempio:

{"alertType": "Fortigate had experienced an unexpected power off!"}
{"threatId": "T1562.001", "threatName": "Disable or Modify Tools"}
{ "alertType": "Add dnsfilter.domain-filter N", "threatId": "TA0005", "threatName": "Defense Evasion"}

Documentazione del vendor