コンテンツにスキップ
MDR のサポート提供の詳細をご確認ください。

Fortinet FortiAnalyzer との統合

Fortinet FortiAnalyzer は Sophos Central と統合して、ソフォスでの解析用にレポートを送信することができます。

このページでは、統合の概要を説明します。

Fortinet FortiAnalyzer 製品の概要

Fortinet の FortiAnalyzer プラットフォームは、ネットワークイベントの収集と解釈を一元化します。ソフォスは、FortiAnalyzer を介して Fortigate ファイアウォール警告を取り込むことができます。

Fortigate は、高度な脅威対策とパフォーマンスの最適化を実現する次世代ファイアウォールです。その統合プラットフォームは、さまざまなセキュリティおよびネットワーク機能を統合し、高度な脅威からユーザーを保護します。

ソフォス製品ドキュメント

Fortinet FortiAnalyzer (API) の統合

取り込まれる内容

ソフォスで表示される警告の例:

  • 危険なアプリの使用
  • C2 ドメインへの Web トラフィック
  • アドレスから提供されたマルウェア
  • ボットネットドメインへのトラフィック
  • 侵入ログ
  • 構成の変更

完全に取り込まれる警告

Fortianalyzer /eventmgmt/adom エンドポイントから返されたイベントを取り込みます。

フィルタリング

エンドポイントの eventmgmt/adom のクエリを実行します。

結果をフィルタリングして、非準拠の形式で提供されたデータを削除します。

次に、次の種類に一致する警告を非対象としてドロップします。

  • ",\\\\W+subject\\\\W+vpntunnel:*",
  • ",\\\\W+subject\\\\W+Web request to Unrated blocked",
  • ",\\\\W+subject\\\\W+IP scanning on Port: .* detected",
  • ",\\\\W+subject\\\\W+SSL connection is exempted based on allowlist.",
  • ",\\\\W+subject\\\\W+SSL connection is exempted based on address.",
  • "Link monitor: Interface .* was turned down",
  • "Link monitor: Interface .* was turned up",
  • "logdesc:Memory log full over final warning level",
  • "logdesc:Memory log full over second warning level",
  • "desc\\\\:Disk quota alert",
  • "desc\\\\:Disk quota warning",
  • ",\\\\W+subject\\\\W+Insecure SSL Connection blocked",

脅威マッピングの例

警告の種類は次のように定義されます。

フィールド message が空でない場合は、指定された正規表現パターンを検索します。それ以外の場合は FTNTFGTattackad.subtype、および cat フィールドが存在するかどうかを確認し、それらに応じて値を割り当てます。一致するものが見つからない場合は、message フィールドをトリミングします。

警告の例:

{"alertType": "Fortigate had experienced an unexpected power off!"}
{"threatId": "T1562.001", "threatName": "Disable or Modify Tools"}
{"alertType": "Add dnsfilter.domain-filter N", "threatId": "TA0005", "threatName": "Defense Evasion"}

ベンダーのドキュメント

Creating administrators