FortiAnalyzer 통합 개요 (로그 수집기)
Sophos Central에 Fortinet FortiAnalyser를 통합하면 Sophos로 경고를 전송하여 분석할 수 있습니다.
이 페이지에서는 통합에 대한 개요를 제공합니다.
Fortinet FortiAnalyzer 제품 개요
Fortinet의 FortiAnalyzer 플랫폼은 네트워크 이벤트의 수집 및 해석을 중앙 집중화합니다. Sophos는 FortiAnalyzer를 통해 Fortigate 방화벽 경고를 수집할 수 있습니다.
Fortigate는 지능형 위협 보호 및 성능 최적화를 제공하는 차세대 방화벽입니다. Fortigate 통합 플랫폼은 다양한 보안 및 네트워킹 기능을 통합하여 정교한 위협으로부터 사용자를 보호합니다.
Sophos 문서
Fortinet FortiAnalyzer(로그 수집기)
수집되는 것
Sophos에서 볼 수 있는 샘플 경고:
Admin login failedIPsec phase 1 errorWeb request to Malicious Websites blockedRisky App Cloudflare.1.1.1.1.VPN blockedURL belongs to a denied category in policyWeb traffic to C&C from _ blockedSSH channel blockedapplications3: F5.BIG.IP.TMM.URI.Normalization.Buffer.Overflowoperating_system: Linux.Kernel.TCP.SACK.Panic.DoSmisc: Java.Debug.Wire.Protocol.Insecure.Configurationbackdoor: Bladabindi.BotnetSocial.Media: SnapchatGeneral.Interest: Google.Cloud.MessagingEmail: Microsoft.Outlook.Office.365Storage.Backup: DropboxMalware JS/Agent.10CC!tr download from WAN blocked
필터링
- 표준 CEF 형식 메시지를 허용합니다.
- 결과를 필터링하여 비준수 형식으로 제공된 데이터를 제거합니다.
- 그런 다음 흥미롭지 않거나 보안 이벤트가 아닌 알림을 삭제합니다.
샘플 위협 매핑
다음과 같이 유형을 정의합니다:
만약 "메시지" 필드가 비어 있지 않다면, 지정된 정규식 패턴을 검색합니다. 그렇지 않으면 , 및 필드가 있는지 확인하고 그에 따라 값을 할당합니다.
샘플 매핑:
{"alertType": "Fortigate had experienced an unexpected power off!"}
{"threatId": "T1562.001", "threatName": "Disable or Modify Tools"}
{ "alertType": "Add dnsfilter.domain-filter N", "threatId": "TA0005", "threatName": "Defense Evasion"}
공급업체 설명서
- 관리자 만들기
- FortiAnalyzer Cloud의 제한 사항을 참조하십시오.