Integração do Fortinet FortiAnalyzer
Você pode integrar o Fortinet FortiAnalyzer ao Sophos Central para que ele envie relatórios à Sophos para análise.
Esta página lhe dá uma visão geral da integração.
Visão geral do produto Fortinet FortiAnalyzer
A plataforma FortiAnalyzer da Fortinet centraliza a coleta e interpretação dos eventos de rede. A Sophos pode ingerir alertas do firewall Fortigate via FortiAnalyzer.
FortiGate é um firewall de última geração que oferece proteção contra ameaças avançadas e otimização de desempenho. Sua plataforma integrada consolida várias funções de segurança e rede, oferecendo aos usuários proteção contra ameaças sofisticadas.
Documentação da Sophos
Integrar o Fortinet FortiAnalyzer (API)
O que ingerimos
Exemplos de alertas vistos pela Sophos:
- Uso de aplicativo arriscado
- Tráfego na web a domínio de C2
- Malware fornecido do endereço
- Tráfego a domínio de botnet
- Logs de intrusão
- Alterações à configuração
Alertas ingeridos na íntegra
Ingerimos eventos retornados do endpoint /eventmgmt/adom
do Fortianalyzer.
Filtragem
Consultamos o Endpoint eventmgmt/adom
.
Filtramos os resultados para remover os dados fornecidos em um formato não compatível.
Em seguida, DESCARTAMOS alertas que correspondem aos seguintes tipos como desinteressantes:
",\\\\W+subject\\\\W+vpntunnel:*",
",\\\\W+subject\\\\W+Web request to Unrated blocked",
",\\\\W+subject\\\\W+IP scanning on Port: .* detected",
",\\\\W+subject\\\\W+SSL connection is exempted based on allowlist.",
",\\\\W+subject\\\\W+SSL connection is exempted based on address."
,"Link monitor: Interface .* was turned down",
"Link monitor: Interface .* was turned up",
"logdesc:Memory log full over final warning level",
"logdesc:Memory log full over second warning level",
"desc\\\\:Disk quota alert",
"desc\\\\:Disk quota warning",
",\\\\W+subject\\\\W+Insecure SSL Connection blocked",
Amostra de mapeamentos de ameaças
O tipo de alerta é definido como se segue:
Se o campo message
não estiver vazio, procure um padrão regex especificado. Caso contrário, verifique a existência dos campos FTNTFGTattack
, ad.subtype
e cat
e atribua os seus valores de acordo. Se nenhuma correspondência for encontrada, aparamos o campo message
.
Exemplos de alertas:
{"alertType": "Fortigate had experienced an unexpected power off!"}
{"threatId": "T1562.001", "threatName": "Disable or Modify Tools"}
{"alertType": "Add dnsfilter.domain-filter N", "threatId": "TA0005", "threatName": "Defense Evasion"}