Pular para o conteúdo
Saiba como oferecemos suporte ao MDR.

Integração do Fortinet FortiAnalyzer

Você pode integrar o Fortinet FortiAnalyzer ao Sophos Central para que ele envie relatórios à Sophos para análise.

Esta página lhe dá uma visão geral da integração.

Visão geral do produto Fortinet FortiAnalyzer

A plataforma FortiAnalyzer da Fortinet centraliza a coleta e interpretação dos eventos de rede. A Sophos pode ingerir alertas do firewall Fortigate via FortiAnalyzer.

FortiGate é um firewall de última geração que oferece proteção contra ameaças avançadas e otimização de desempenho. Sua plataforma integrada consolida várias funções de segurança e rede, oferecendo aos usuários proteção contra ameaças sofisticadas.

Documentação da Sophos

Integrar o Fortinet FortiAnalyzer (API)

O que ingerimos

Exemplos de alertas vistos pela Sophos:

  • Uso de aplicativo arriscado
  • Tráfego na web a domínio de C2
  • Malware fornecido do endereço
  • Tráfego a domínio de botnet
  • Logs de intrusão
  • Alterações à configuração

Alertas ingeridos na íntegra

Ingerimos eventos retornados do endpoint /eventmgmt/adom do Fortianalyzer.

Filtragem

Consultamos o Endpoint eventmgmt/adom.

Filtramos os resultados para remover os dados fornecidos em um formato não compatível.

Em seguida, DESCARTAMOS alertas que correspondem aos seguintes tipos como desinteressantes:

  • ",\\\\W+subject\\\\W+vpntunnel:*",
  • ",\\\\W+subject\\\\W+Web request to Unrated blocked",
  • ",\\\\W+subject\\\\W+IP scanning on Port: .* detected",
  • ",\\\\W+subject\\\\W+SSL connection is exempted based on allowlist.",
  • ",\\\\W+subject\\\\W+SSL connection is exempted based on address.",
  • "Link monitor: Interface .* was turned down",
  • "Link monitor: Interface .* was turned up",
  • "logdesc:Memory log full over final warning level",
  • "logdesc:Memory log full over second warning level",
  • "desc\\\\:Disk quota alert",
  • "desc\\\\:Disk quota warning",
  • ",\\\\W+subject\\\\W+Insecure SSL Connection blocked",

Amostra de mapeamentos de ameaças

O tipo de alerta é definido como se segue:

Se o campo message não estiver vazio, procure um padrão regex especificado. Caso contrário, verifique a existência dos campos FTNTFGTattack, ad.subtype e cat e atribua os seus valores de acordo. Se nenhuma correspondência for encontrada, aparamos o campo message.

Exemplos de alertas:

{"alertType": "Fortigate had experienced an unexpected power off!"}
{"threatId": "T1562.001", "threatName": "Disable or Modify Tools"}
{"alertType": "Add dnsfilter.domain-filter N", "threatId": "TA0005", "threatName": "Defense Evasion"}

Documentação do fornecedor

Creating administrators