Fortinet FortiAnalyzer との統合
Fortinet FortiAnalyzer は Sophos Central と統合して、ソフォスでの解析用にレポートを送信することができます。
このページでは、統合の概要を説明します。
Note
この統合により、FortiAnalyzer アプライアンスと VM サブスクリプション製品は Sophos にデータを転送できます。ただし、FortiAnalyzer Cloud はセキュリティイベントを含むログを転送できないため、この統合と互換性がありません。Limitations of FortiAnalyzer Cloud を参照してください。
Fortinet FortiAnalyzer 製品の概要
Fortinet の FortiAnalyzer プラットフォームは、ネットワークイベントの収集と解釈を一元化します。ソフォスは、FortiAnalyzer を介して Fortigate ファイアウォール警告を取り込むことができます。
Fortigate は、高度な脅威対策とパフォーマンスの最適化を実現する次世代ファイアウォールです。その統合プラットフォームは、さまざまなセキュリティおよびネットワーク機能を統合し、高度な脅威からユーザーを保護します。
ソフォス製品ドキュメント
Fortinet FortiAnalyzer (API) の統合
取り込まれる内容
ソフォスで表示される警告の例:
- 危険なアプリの使用
- C2 ドメインへの Web トラフィック
- アドレスから提供されたマルウェア
- ボットネットドメインへのトラフィック
- 侵入ログ
- 設定の変更
完全に取り込まれる警告
FortiAnalyzer /eventmgmt/adom エンドポイントから返されたイベントを取り込みます。
フィルタリング
エンドポイントの eventmgmt/adom のクエリを実行します。
結果をフィルタリングして、非準拠の形式で提供されたデータを削除します。
次に、次の種類に一致する警告を非対象としてドロップします。
",\\W+subject\\W+vpntunnel:*",",\\W+subject\\W+Web request to Unrated blocked",",\\W+subject\\W+IP scanning on Port: .* detected",",\\W+subject\\W+SSL connection is exempted based on allowlist.",",\\W+subject\\W+SSL connection is exempted based on address.","Link monitor:Interface .* was turned down","Link monitor:Interface .* was turned up","logdesc:Memory log full over final warning level","logdesc:Memory log full over second warning level","desc\\:Disk quota alert","desc\\:Disk quota warning",",\\W+subject\\W+Insecure SSL Connection blocked",
脅威マッピングの例
警告の種類は次のように定義されます。
フィールド message が空でない場合は、指定された正規表現パターンを検索します。それ以外の場合は FTNTFGTattack、ad.subtype、および cat フィールドが存在するかどうかを確認し、それらに応じて値を割り当てます。一致するものが見つからない場合は、message フィールドをトリミングします。
警告の例:
{"alertType":"Fortigate had experienced an unexpected power off!"}
{"threatId":"T1562.001", "threatName":"Disable or Modify Tools"}
{"alertType":"Add dnsfilter.domain-filter N", "threatId":"TA0005", "threatName":"Defense Evasion"}