Vai al contenuto
Il supporto che offriamo per MDR.

Fortinet FortiAnalyzer (API)

API

Per utilizzare questa funzionalità, occorre un pacchetto di licenza per l’integrazione “Firewall”.

Nota

È disponibile anche un’integrazione di tipo agente di raccolta log per FortiAnalyzer. A differenza dell’integrazione API, non richiede accesso all’Internet pubblica sul dispositivo FortiAnalyzer. Vedere Fortinet FortiAnalyzer (Agente di raccolta log).

Fortinet FortiAnalyzer può essere integrato con Sophos Central per l’invio dei report a Sophos, a scopo di analisi.

È un’integrazione basata su API. Occorreranno il nome utente, la password e il dominio amministrativo di un amministratore di FortiAnalyzer, nonché l’URL di base di FortiAnalyzer.

I passaggi chiave sono:

  • Creare un amministratore in FortiAnalyzer.
  • Ottenere l’URL di base per FortiAnalyzer.
  • Configurare un’integrazione in Sophos Central.

Avviso

L’URL di base di FortiAnalyzer deve avere un nome DNS risolvibile pubblicamente, altrimenti l’API non funzionerà.

Con questa API non è neppure possibile utilizzare un certificato autofirmato.

Creazione di un amministratore di FortiAnalyzer

Per creare un amministratore, procedere come segue:

  1. In FortiAnalyzer, selezionare System Settings (Impostazioni di sistema) > Admin (Amministrazione) > Administrators (Amministratori).

  2. Creare un amministratore con accesso JSON in lettura per le API.

    Nel profilo dell’amministratore occorre impostare l’autorizzazione Incidents & Events/FortiSOC (Incidenti ed eventi/FortiSOC) su Read Only (Sola lettura).

    Prendere nota del nome utente, della password e del dominio amministrativo. Saranno richiesti quando viene aggiunta l’integrazione.

    Per informazioni dettagliate, vedere la pagina Creazione di amministratori.

Recupero dell’URL di base di FortiAnalyzer

  1. Verificare l’URL di base di FortiAnalyzer a cui dovrà connettersi Sophos Central.

    Il formato dell’URL di base è il seguente: https://faz.<yourorganization>.com.

    Copiare l’URL di base. Verrà richiesto all’aggiunta dell’integrazione.

Configurazione di un’integrazione

Per integrare FortiAnalyzer con Sophos Central, procedere come segue:

  1. In Sophos Central, selezionare Centro di analisi delle minacce > Integrazioni > Marketplace.
  2. Cliccare su FortiAnalyzer.

    Si apre la pagina FortiAnalyzer. Qui è possibile configurare le integrazioni e visualizzare un elenco delle integrazioni che sono già state configurate.

  3. In Inserimento dei dati (Avvisi di sicurezza), cliccare su Aggiungi configurazione.

    Nota

    Se questa è la prima integrazione aggiunta, chiederemo dei dettagli sui domini e sugli IP interni. Vedere I miei domini e IP.

  4. Nei Passaggi di integrazione è possibile configurare un’API in modo che raccolga dati da FortiAnalyzer:

    1. Immettere il Nome dell’integrazione e la Descrizione dell’integrazione.
    2. Immettere i Dettagli autenticazione ottenuti da FortiAnalyzer: dominio amministrativo, nome utente, password e URL di base.
  5. Cliccare su Salva

L’integrazione verrà creata e visualizzata nell’elenco. Se l’icona di stato mostra una spunta verde, i dati dovrebbero essere visualizzati nel Sophos Data Lake dopo la convalida.

Indirizzi IP per Sophos

Gli indirizzi IP utilizzati per raggiungere FortiAnalyzer dipendono dall’area geografica di Sophos Central che si utilizza. Per sapere quali sono gli indirizzi IP richiesti, vedere IP di Sophos per le integrazioni.

Potrebbe essere consigliabile aggiungere questi indirizzi agli elenchi di elementi Consentiti nella propria infrastruttura di rete.