Vai al contenuto
Il supporto che offriamo per MDR.

Integrazione Fortinet Fortigate

Fortinet Fortigate può essere integrato con Sophos Central per l’invio di avvisi a Sophos, a scopo di analisi.

Questa pagina fornisce una panoramica dell’integrazione.

Panoramica del prodotto Fortinet Fortigate

Fortinet FortiGate è un firewall next-gen che offre protezione avanzata contro le minacce e aiuta a ottimizzare la performance. La sua piattaforma integrata unisce varie funzioni di sicurezza e connettività, per difendere gli utenti dalle minacce più sofisticate.

Documenti Sophos

Integrazione di Fortinet FortiGate

I dati raccolti e inseriti

Esempi di avvisi visualizzati da Sophos:

  • Apache.Struts.2.ParametersInterceptor.Remote.Command.Execution
  • Squirrelly.Template.Engine.Express.Render.API.Code.Injection
  • Splunk.Enterprise.REST.Information.Disclosure
  • TinyWebGallery.Lang.File.Inclusion
  • SIP.Multiple.Single.Value.Required.Header.Field

Avvisi inseriti per intero

Consigliamo di configurare i seguenti avvisi (con gravità warning o superiore):

  • forward-traffic
  • local-traffic
  • multicast-traffic
  • sniffer-traffic
  • anomaly
  • traffic
  • web
  • url-filter
  • log-all-url
  • web-filter-referer-log

Filtraggio

Filtriamo gli avvisi e i log come indicato di seguito.

Filtro dell’agente

  • I CEF validi vengono AUTORIZZATI.
  • Vengono RILASCIATI i log del traffico e i log di pass-through del WAF.
  • Vengono RILASCIATI i messaggi solo di log, i messaggi di info e quelli di livello di avviso.
  • Vengono RILASCIATI vari messaggi di stato dei dispositivi wireless.

Filtro della piattaforma

  • Vengono RILASCIATI vari log di controllo di Active Directory.
  • Vengono RILASCIATI i messaggi relativi ai livelli di errore.
  • Vengono RILASCIATI vari messaggi e log controllati e non correlati alla sicurezza.
  • Vengono RILASCIATI vari messaggi specificati, caratterizzati da un alto volume e un valore basso.

Esempi di mapping delle minacce

{"alertType": "SSL connection is blocked.", "threatId": "T1573", "threatName": "Encrypted Channel"}
{"alertType": "Cerber.Botnet", "threatId": "TA0011", "threatName": "Command and Control"}
{"alertType": "Apache.Log4j.Error.Log.Remote.Code.Execution", "threatId": "T1203", "threatName": "Exploitation for Client Execution"}
{"alertType": "Network.Service: DNS_Dynamic.Update", "threatId": "T1071.004", "threatName": "DNS"}
{"alertType": "Administrator NAME login failed from ssh(IP_ADDRESS) because admin concurrent is disabled", "threatId": "T1078", "threatName": "Valid Accounts"}