Fortinet FortiAnalyzer との統合
Fortinet FortiAnalyzer は Sophos Central と統合して、ソフォスでの解析用にレポートを送信することができます。
このページでは、統合の概要を説明します。
Fortinet FortiAnalyzer 製品の概要
Fortinet の FortiAnalyzer プラットフォームは、ネットワークイベントの収集と解釈を一元化します。ソフォスは、FortiAnalyzer を介して Fortigate ファイアウォール警告を取り込むことができます。
Fortigate は、高度な脅威対策とパフォーマンスの最適化を実現する次世代ファイアウォールです。その統合プラットフォームは、さまざまなセキュリティおよびネットワーク機能を統合し、高度な脅威からユーザーを保護します。
ソフォス製品ドキュメント
Fortinet FortiAnalyzer (API) の統合
取り込まれる内容
ソフォスで表示される警告の例:
- 危険なアプリの使用
- C2 ドメインへの Web トラフィック
- アドレスから提供されたマルウェア
- ボットネットドメインへのトラフィック
- 侵入ログ
- 構成の変更
完全に取り込まれる警告
Fortianalyzer /eventmgmt/adom
エンドポイントから返されたイベントを取り込みます。
フィルタリング
エンドポイントの eventmgmt/adom
のクエリを実行します。
結果をフィルタリングして、非準拠の形式で提供されたデータを削除します。
次に、次の種類に一致する警告を非対象としてドロップします。
",\\\\W+subject\\\\W+vpntunnel:*",
",\\\\W+subject\\\\W+Web request to Unrated blocked",
",\\\\W+subject\\\\W+IP scanning on Port: .* detected",
",\\\\W+subject\\\\W+SSL connection is exempted based on allowlist.",
",\\\\W+subject\\\\W+SSL connection is exempted based on address."
,"Link monitor: Interface .* was turned down",
"Link monitor: Interface .* was turned up",
"logdesc:Memory log full over final warning level",
"logdesc:Memory log full over second warning level",
"desc\\\\:Disk quota alert",
"desc\\\\:Disk quota warning",
",\\\\W+subject\\\\W+Insecure SSL Connection blocked",
脅威マッピングの例
警告の種類は次のように定義されます。
フィールド message
が空でない場合は、指定された正規表現パターンを検索します。それ以外の場合は FTNTFGTattack
、ad.subtype
、および cat
フィールドが存在するかどうかを確認し、それらに応じて値を割り当てます。一致するものが見つからない場合は、message
フィールドをトリミングします。
警告の例:
{"alertType": "Fortigate had experienced an unexpected power off!"}
{"threatId": "T1562.001", "threatName": "Disable or Modify Tools"}
{"alertType": "Add dnsfilter.domain-filter N", "threatId": "TA0005", "threatName": "Defense Evasion"}