Integrazione Fortinet Fortigate
Fortinet Fortigate può essere integrato con Sophos Central per l’invio di avvisi a Sophos, a scopo di analisi.
Questa pagina fornisce una panoramica dell’integrazione.
Panoramica del prodotto Fortinet Fortigate
Fortinet FortiGate è un firewall next-gen che offre protezione avanzata contro le minacce e aiuta a ottimizzare la performance. La sua piattaforma integrata unisce varie funzioni di sicurezza e connettività, per difendere gli utenti dalle minacce più sofisticate.
Documenti Sophos
Integrazione di Fortinet FortiGate
I dati raccolti e inseriti
Esempi di avvisi visualizzati da Sophos:
Apache.Struts.2.ParametersInterceptor.Remote.Command.Execution
Squirrelly.Template.Engine.Express.Render.API.Code.Injection
Splunk.Enterprise.REST.Information.Disclosure
TinyWebGallery.Lang.File.Inclusion
SIP.Multiple.Single.Value.Required.Header.Field
Avvisi inseriti per intero
Consigliamo di configurare i seguenti avvisi (con gravità warning
o superiore):
forward-traffic
local-traffic
multicast-traffic
sniffer-traffic
anomaly
traffic
web
url-filter
log-all-url
web-filter-referer-log
Filtraggio
Filtriamo gli avvisi e i log come indicato di seguito.
Filtro dell’agente
- I
CEF
validi vengono AUTORIZZATI. - Vengono RILASCIATI i log del traffico e i log di pass-through del WAF.
- Vengono RILASCIATI i messaggi solo di log, i messaggi di info e quelli di livello di avviso.
- Vengono RILASCIATI vari messaggi di stato dei dispositivi wireless.
Filtro della piattaforma
- Vengono RILASCIATI vari log di controllo di Active Directory.
- Vengono RILASCIATI i messaggi relativi ai livelli di errore.
- Vengono RILASCIATI vari messaggi e log controllati e non correlati alla sicurezza.
- Vengono RILASCIATI vari messaggi specificati, caratterizzati da un alto volume e un valore basso.
Esempi di mapping delle minacce
{"alertType": "SSL connection is blocked.", "threatId": "T1573", "threatName": "Encrypted Channel"}
{"alertType": "Cerber.Botnet", "threatId": "TA0011", "threatName": "Command and Control"}
{"alertType": "Apache.Log4j.Error.Log.Remote.Code.Execution", "threatId": "T1203", "threatName": "Exploitation for Client Execution"}
{"alertType": "Network.Service: DNS_Dynamic.Update", "threatId": "T1071.004", "threatName": "DNS"}
{"alertType": "Administrator NAME login failed from ssh(IP_ADDRESS) because admin concurrent is disabled", "threatId": "T1078", "threatName": "Valid Accounts"}