Fortinet FortiAnalyzer 통합
Sophos Central에 Fortinet FortiAnalyzer를 통합하면 Sophos로 보고서를 전송하여 분석할 수 있습니다.
이 페이지에서는 통합에 대한 개요를 제공합니다.
Fortinet FortiAnalyzer 제품 개요
Fortinet의 FortiAnalyzer 플랫폼은 네트워크 이벤트의 수집 및 해석을 중앙 집중화합니다. Sophos는 FortiAnalyzer를 통해 Fortigate 방화벽 경고를 수집할 수 있습니다.
Fortigate는 지능형 위협 보호 및 성능 최적화를 제공하는 차세대 방화벽입니다. Fortigate 통합 플랫폼은 다양한 보안 및 네트워킹 기능을 통합하여 정교한 위협으로부터 사용자를 보호합니다.
Sophos 문서
Fortinet FortiAnalyzer(API) 통합
우리가 섭취하는 것
Sophos에서 볼 수 있는 샘플 경고:
- 위험한 앱 사용
- C2 도메인에 대한 웹 트래픽
- 주소에서 제공된 맬웨어
- 봇넷 도메인에 대한 트래픽
- 침입 로그
- 구성 변경
알림이 완전히 수집됨
Fortianalyzer 엔드포인트에서 반환된 이벤트를 수집합니다. /eventmgmt/adom
필터링
Endpoint eventmgmt/adom
를 쿼리합니다.
결과를 필터링하여 비준수 형식으로 제공된 데이터를 제거합니다.
그런 다음 다음 다음 유형과 일치하는 경고를 흥미롭지 않은 것으로 삭제합니다.
",\\\\W+subject\\\\W+vpntunnel:*",
",\\\\W+subject\\\\W+Web request to Unrated blocked",
",\\\\W+subject\\\\W+IP scanning on Port: .* detected",
",\\\\W+subject\\\\W+SSL connection is exempted based on allowlist.",
",\\\\W+subject\\\\W+SSL connection is exempted based on address."
,"Link monitor: Interface .* was turned down",
"Link monitor: Interface .* was turned up",
"logdesc:Memory log full over final warning level",
"logdesc:Memory log full over second warning level",
"desc\\\\:Disk quota alert",
"desc\\\\:Disk quota warning",
",\\\\W+subject\\\\W+Insecure SSL Connection blocked",
위협 매핑 샘플
알림 유형은 다음과 같이 정의됩니다.
필드가 message
비어 있지 않으면 지정된 정규식 패턴을 검색합니다. 그렇지 않으면 FTNTFGTattack
, ad.subtype
및 cat
필드가 있는지 확인하고 그에 따라 값을 할당합니다. 일치하는 항목이 없으면 message
필드를 트리밍합니다.
경고 예:
{"alertType": "Fortigate had experienced an unexpected power off!"}
{"threatId": "T1562.001", "threatName": "Disable or Modify Tools"}
{"alertType": "Add dnsfilter.domain-filter N", "threatId": "TA0005", "threatName": "Defense Evasion"}