주요 콘텐츠로 건너뛰기
페이지의 일부 또는 전체가 기계 번역되었습니다.
MDR을 지원하는 방법에 대해 알아보십시오.

Fortinet FortiAnalyzer 통합

Sophos Central에 Fortinet FortiAnalyzer를 통합하면 Sophos로 보고서를 전송하여 분석할 수 있습니다.

이 페이지에서는 통합에 대한 개요를 제공합니다.

Fortinet FortiAnalyzer 제품 개요

Fortinet의 FortiAnalyzer 플랫폼은 네트워크 이벤트의 수집 및 해석을 중앙 집중화합니다. Sophos는 FortiAnalyzer를 통해 Fortigate 방화벽 경고를 수집할 수 있습니다.

Fortigate는 지능형 위협 보호 및 성능 최적화를 제공하는 차세대 방화벽입니다. Fortigate 통합 플랫폼은 다양한 보안 및 네트워킹 기능을 통합하여 정교한 위협으로부터 사용자를 보호합니다.

Sophos 문서

Fortinet FortiAnalyzer(API) 통합

우리가 섭취하는 것

Sophos에서 볼 수 있는 샘플 경고:

  • 위험한 앱 사용
  • C2 도메인에 대한 웹 트래픽
  • 주소에서 제공된 맬웨어
  • 봇넷 도메인에 대한 트래픽
  • 침입 로그
  • 구성 변경

알림이 완전히 수집됨

Fortianalyzer 엔드포인트에서 반환된 이벤트를 수집합니다. /eventmgmt/adom

필터링

Endpoint eventmgmt/adom를 쿼리합니다.

결과를 필터링하여 비준수 형식으로 제공된 데이터를 제거합니다.

그런 다음 다음 다음 유형과 일치하는 경고를 흥미롭지 않은 것으로 삭제합니다.

  • ",\\\\W+subject\\\\W+vpntunnel:*",
  • ",\\\\W+subject\\\\W+Web request to Unrated blocked",
  • ",\\\\W+subject\\\\W+IP scanning on Port: .* detected",
  • ",\\\\W+subject\\\\W+SSL connection is exempted based on allowlist.",
  • ",\\\\W+subject\\\\W+SSL connection is exempted based on address.",
  • "Link monitor: Interface .* was turned down",
  • "Link monitor: Interface .* was turned up",
  • "logdesc:Memory log full over final warning level",
  • "logdesc:Memory log full over second warning level",
  • "desc\\\\:Disk quota alert",
  • "desc\\\\:Disk quota warning",
  • ",\\\\W+subject\\\\W+Insecure SSL Connection blocked",

위협 매핑 샘플

알림 유형은 다음과 같이 정의됩니다.

필드가 message 비어 있지 않으면 지정된 정규식 패턴을 검색합니다. 그렇지 않으면 FTNTFGTattack, ad.subtypecat 필드가 있는지 확인하고 그에 따라 값을 할당합니다. 일치하는 항목이 없으면 message 필드를 트리밍합니다.

경고 예:

{"alertType": "Fortigate had experienced an unexpected power off!"}
{"threatId": "T1562.001", "threatName": "Disable or Modify Tools"}
{"alertType": "Add dnsfilter.domain-filter N", "threatId": "TA0005", "threatName": "Defense Evasion"}

공급업체 설명서

관리자 생성